Linux中history輸出格式的客製化

2020-06-16 17:53:16

摘要

Linux運維同學們經常會用history命令來檢視命令的歷史記錄，有時候是為了查詢”犯罪證據“，但因為history命令輸出預設只有ID和command，查詢的同學還想知道命令對應的時間，有沒有辦法讓時間也顯示出來呢？辦法是有的。本文主要講講相關的設定。

正文

以root使用者登入伺服器，在/etc/profile.d/下新建一個檔案history_command

vim /etc/profile.c/history_command

export HISTFILE=$HOME/.bash_history

export HISTSIZE=1200

export HISTFILESIZE=1200

export HISTCONTROL=ignoredups

export HISTTIMEFORMAT="`whoami` %F %T "

shopt -s histappend

typeset -r HISTTIMEFORMAT

source /etc/profile.c/history_command ,使其生效，再敲history命令看看：

#history 5

1008 root 2015-09-11 08:54:20 vim /etc/profile

1009 root 2015-09-11 09:13:17 history | less

1010 root 2015-09-11 09:15:49 vim /etc/profile

1011 root 2015-09-11 09:43:20 cat /etc/profile.d/history_command

1012 root 2015-09-11 09:44:59 history 5

時間已經有了，/etc/profile和/etc/profile.d/下的檔案會在使用者interactive login的時候自動執行，所以使用者登入機器後每敲一個命令都會被記錄到HISTFILE指定的檔案中，而且是以追加的方式寫入的。

設定中最關鍵的地方是export HISTTIMEFORMAT="`whoami` %F %T " ，這一行指定history的輸出格式。