一、查看系統(tǒng)登錄記錄

一般情況下，我們可以通過/var/log目錄下的auth.log文件來查看系統(tǒng)的登錄記錄，使用以下命令可以查看該文件的最后10行：

sudo tail /var/log/auth.log

如果希望查看所有的登錄記錄，可以使用grep過濾：

sudo cat /var/log/auth.log | grep "session opened"

這個命令可以查看所有的登錄記錄，包括SSH登錄、本地登錄等。

二、查看歷史命令記錄

Bash shell可以記錄我們執(zhí)行的所有命令，通常這些記錄保存在~/.bash_history文件中。我們可以使用下面的命令來查看最近執(zhí)行的10條命令：

tail ~/.bash_history

如果希望查看所有的歷史命令記錄，可以使用以下命令：

history

這個命令會列出所有的歷史命令記錄，包括執(zhí)行時間和執(zhí)行人。

三、查看系統(tǒng)日志記錄

除了登錄記錄和命令記錄之外，系統(tǒng)還會記錄一些重要的事件和錯誤信息。這些信息通常保存在/var/log目錄下的各個日志文件中，如syslog、kern.log、dmesg等。

以下是查看系統(tǒng)日志記錄的一些常用命令：

sudo cat /var/log/syslog

sudo cat /var/log/kern.log

sudo cat /var/log/dmesg

四、使用Auditd進(jìn)行詳細(xì)記錄

除了上述方法，我們還可以使用Auditd來進(jìn)行詳細(xì)的操作記錄和審計。Auditd是一個系統(tǒng)審計工具，可以記錄所有的系統(tǒng)事件、文件變更、進(jìn)程啟動、權(quán)限變更等，并將這些記錄保存在/var/log/audit/目錄下的audit.log文件中。

以下是使用Auditd進(jìn)行記錄的一些命令：

sudo service auditd start

sudo auditctl -l

sudo auditctl -a always,exit -F arch=b64 -S execve -k myAuditRule

這個命令的含義是，將執(zhí)行execve系統(tǒng)調(diào)用的進(jìn)程記錄下來，并打上myAuditRule的標(biāo)志。我們可以通過執(zhí)行該命令后使用some命令，來測試是否能夠記錄下相關(guān)事件，如：

touch testfile
sudo some testfile

sudo ausearch -k myAuditRule

五、結(jié)論

通過以上方法，我們可以在Linux系統(tǒng)中查看操作記錄，并對系統(tǒng)的安全性進(jìn)行審計。