Para Debian y familia
apt-get install acct
Para Red Hat y familia
# yum install psacct
Tras su instalación, tendremos que arrancar el proceso que lleva el mismo nombre que el paquete. A partir de este momento, acct estará ya recolectando datos para nosotros, así que toca ver la forma de explotar los datos que almacena.
- acEste comando se encarga de sacar información de tiempo de conexión de usuario al sistema.
# ac -p root 1823.40 javier 0.00 total 1823.40
- saNo muestra un sumario de información relativa a las estadísticas de ejecución de cada usuario.
# sa -u -7365568 0.00 cpu 979k mem accton -7365568 0.00 cpu 26288k mem touch -7365568 0.00 cpu 26608k mem psacct -7365568 0.00 cpu 979k mem consoletype -7365568 0.00 cpu 26528k mem psacct * -7365568 0.00 cpu 26608k mem psacct -7365568 0.00 cpu 28928k mem ls -7365568 0.31 cpu 27696k mem bash -7365568 1.41 cpu 17472k mem sshd -7365568 0.00 cpu 4332k mem unix_chkpwd -7365568 0.00 cpu 4332k mem unix_chkpwd -7365568 0.00 cpu 16416k mem sshd * ...
- lastcommMuestra todos los comandos que los usuarios han ejecutado en el sistema. Este es el comando más potente, sin dudarlo, ya que permite sacar mucha información o ser muy cotilla, lo que prefiramos.A parte del comando ejecutado, también nos indica la fecha, el usuario y dónde se ejecutó.
# lastcomm gtbl root pts/0 0.00 secs Sun Jun 22 13:48 sh F root pts/0 0.00 secs Sun Jun 22 13:48 gzip root pts/0 0.00 secs Sun Jun 22 13:48 gzip root pts/0 0.00 secs Sun Jun 22 13:48 gzip root pts/0 0.00 secs Sun Jun 22 13:48 bash F root pts/0 0.00 secs Sun Jun 22 13:23 hostname root pts/0 0.00 secs Sun Jun 22 13:23 bash F root pts/0 0.00 secs Sun Jun 22 13:23 id root pts/0 0.00 secs Sun Jun 22 13:23 sshd SF sshd --- 0.00 secs Sun Jun 22 13:23 ...
Como ves, información muy valiosa para análisis en caso de desastre.
