Linux记录用户操作记录

如下方法在centos5.x系统中通过.

在/etc/profile文件里加入如下语句：
1）使用script记录UID大于500的用户的所有操作，类似屏幕截图 

if [ $UID -gt 500 ]
then
    exec /usr/bin/script -t 2>/tmp/$USER-$UID-$(date +%Y%m%d%H%M).date -a -f -q /tmp/$USER-$UID-$(date +%Y%m%d%H%M).log
fi

script 可以把当前用户的所有键盘操作、屏幕输出以及错误信息等等保存到一个文件中；使用exec可以防止用户自行退出script，当输入exit退出时，会连当前的终端一起关掉；exec还有执行完当前命令就退出当前shell的特性，也就是说，要把exec命令放在profile最后一行执行，因为exec后面的命令都执行不到。为什么执行了上边的命令没有退出当前shell呢，因为script命令一直在持续运行，也就是说在持续记录用户的操作，并不是说执行一次马上就结束了。-a  用append的形式在文件中追加，若不适用此参数，同名的记录文件会被覆盖，而且没有提示；-f Flush output after each write;-q be quiet-t 生成时间文件，有了这个文件，可以使用 scriptreplay 命令回放；如：scriptreplay username-500-201111262310.date username-500-20111126231.log   要注意“时间文件”和“记录文件”的顺序，不要颠倒了；要保证该文件当前登录用户可写，不然无法正常记录！因为文件是实时更新的，如果tail、more自己的记录文件，会形成很有意思的无限循环。

2）使用环境变量记录用户操作
在/etc/profile和/etc/bashrc中添加以下命令，并 source 一次

export PROMPT_COMMAND='{ date "+[ %Y%m%d %H:%M:%S `whoami` ] `history 1 | { read x cmd; echo "$cmd"; }`"; } >> /var/log/command.log'

这条命令会把登录用户所有按回车输入的内容都记录到command.log文件中去，即使是敲错的命令也一样；
要保证command.log文件所有用户都可写，使用chattr命令防止用户自行修改记录，

chattr +a /var/log/command.log

再配合logrotate定期进行log轮替。

/var/log/command.log{

 prerotate
       /usr/bin/chattr -a /var/log/command.log
 endscript
    compress
    delaycompress
    notifempty
    rotate 1000
    size 10M
 postrotate
        /usr/bin/chattr +a /var/log/command.log
 endscript
}

解释一下PROMPT_COMMAND环境变量，这个变量会优先于 PS1 变量执行，屏幕上显示完PROMPT_COMMAND定义的内容后，才会显示 PS1 提示符的内容；也就是说，按回车后，先输出 PROMPT_COMMAND 的内容到屏幕上，然后才输出 PS1 ；上边给出的命令因为做了重定向，所以不会输出到屏幕上，而是command.log文件中。

注：在 /etc/bashrc 文件中有对 PROMPT_COMMAND 变量进行赋值，会把/etc/profile中添加的PROMPT_COMMAND 变量值覆盖掉（为什么会覆盖掉请参考我以前的一篇文章 《bash中profile等配置文件执行顺序”》），所以要在 /etc/bashrc 中的最后也添加以上命令。因为在  ~/.bashrc 中有一个判断并调用/etc/bashrc的内容，为了保证肯定能够执行到这个命令，要在/etc/profile和/etc/bashrc中都添加以上命令。

3）其实可以根据自己的需要输出不同的内容，比如下边的命令，记录了更加详细的信息。自己编写时，需要注意命令中的单双引号嵌套，很容易因为引号的配对问题出现命令不能通过的问题。

export PROMPT_COMMAND='{ date +"%Y%m%d %H:%M:%S [$(who am i | tr -s [[:blank:]] | cut -d" " -f1,2,5)-> ${USER}] $( history 1 | { read num cmd; echo ${cmd}; })" ; } >> /var/log/command.log'