Linux下利用psacct审计系统帐号连接时间, 用户操作

一般情况下需要查询用户的历史命令，连接时间,连接IP需要查询多个命令或日志 :

history 查询用户的历史命令默认HISTSIZE=1000 记录最近的1000行命令,默认是没有记录执行时间的，也看不到来自哪个终端

/var/log/secure 查询登陆时间,来源IP

lastlog 各个系统帐号最后登陆的时间

使用psacct-6.3.2-44.el5(现在yum源上的版本)就能一次查询多个信息，相对于上面的方法更加简便有效.

要使用psacct必须安装软件包且启动psacct服务. 启动了服务之后才开始统计. 信息将记录进/var/log/psacct

psacct的4个核心命令 :

1) ac [参数] 按要求统计帐号总连接时间, 不加参数则统计连接时间总和

ac常用参数

ac [ -d | --daily-totals ] [ -y | --print-year ]
[ -p | --individual-totals ] [ people ]

2) lastcomm [参数] 可以看到由近到远帐号执行命令内容，时间点，终端,消耗的CPU时钟. 不带参数时你还可以看到系统服务执行的命令。使用管道执行的命令每个命令都会占用一行。

lastcomm常用参数:

       lastcomm
              [ command-name ... ]
              [ user-name ... ]
              [ terminal-name ... ]

3) accton 打开/关闭统计

4) sa 以命令为单位报告系统资源消耗量.

扩展链接

http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accounting.html