Shutdown
關機日誌 Linux 使用者名
我可以知道誰
shutdown在多使用者系統中的任何 *nix 系統上發出了命令嗎?我想知道發出特定命令的使用者的姓名。
**注意:**此答案主要側重於顯示系統何時啟動/關閉。獲取執行關機的實際使用者有點棘手。我見過的最好的方法是限制對系統的訪問,並且只授予某些操作員對命令
sudo的權限。shutdown這將為您提供有關誰執行了哪些sudo命令以及他們何時執行此命令的日誌。這比嘗試破解shutdown命令要好得多!1.解析日誌文件
大多數係統的日誌中已經包含此資訊,您只需要知道要查找的內容即可。
日誌文件
/var/log/messages,/var/log/syslog(Ubuntu)或/var/log/secure(CentOS)通常會有這個。例子
$ sudo grep -iE "shutdown|boot" secure* secure-20131215:Dec 14 02:08:56 greeneggs sudo: saml : TTY=pts/6 ; PWD=/home/saml ; USER=root ; COMMAND=/sbin/reboot2. 上次系統啟動時間?
為此,您可以使用
who命令。專門用-b開關。$ who -b system boot 2013-08-01 17:56這表示上次啟動系統是 2013-08-01。
3. 過去的重啟
如果您有興趣查看更廣泛的先前重新啟動列表,您可以使用該
last命令。$ last reboot | less reboot system boot 2.6.35.14-106.fc Thu Aug 1 17:56 - 02:03 (7+08:06) reboot system boot 2.6.35.14-106.fc Thu Aug 1 09:41 - 17:55 (08:14) reboot system boot 2.6.35.14-106.fc Thu Jul 25 15:24 - 17:55 (7+02:31) reboot system boot 2.6.35.14-106.fc Thu Jul 18 18:05 - 15:23 (6+21:17) ...4. 過去的系統關閉和執行級別更改?
您也可以使用該
last命令。您需要使用-x開關。$ last -x | less saml pts/7 :pts/6:S.0 Sat Aug 3 21:30 - 21:30 (00:00) saml pts/6 :0.0 Sat Aug 3 21:29 - 21:30 (00:01) saml pts/4 :0.0 Fri Aug 2 21:49 - 22:16 (2+00:26) saml pts/2 :0.0 Fri Aug 2 13:30 - 22:16 (2+08:45) saml pts/1 :0.0 Fri Aug 2 13:05 still logged in saml pts/0 :0.0 Fri Aug 2 12:37 still logged in saml pts/0 :0.0 Fri Aug 2 12:35 - 12:37 (00:02) saml pts/0 :0.0 Thu Aug 1 17:58 - 12:35 (18:36) saml tty1 :0 Thu Aug 1 17:56 still logged in runlevel (to lvl 5) 2.6.35.14-106.fc Thu Aug 1 17:56 - 02:04 (7+08:08) reboot system boot 2.6.35.14-106.fc Thu Aug 1 17:56 - 02:04 (7+08:08) shutdown system down 2.6.35.14-106.fc Thu Aug 1 17:55 - 17:56 (00:00) runlevel (to lvl 6) 2.6.35.14-106.fc Thu Aug 1 17:55 - 17:55 (00:00) saml tty2 Thu Aug 1 17:54 - down (00:01) root tty2 Thu Aug 1 17:53 - 17:54 (00:00) ...參考