systemadmin.es > Utilidades > Timestamps en el historial de comandos

Timestamps en el historial de comandos

Leyendo el libro UNIX and Linux Forensic Analysis DVD Toolkit encontré que se afirmaba que no hay timestamps en el history (historial de comandos). Esto no es necesariamente cierto, vamos a ver como habilitarlos en bash.

Textualmente el libro indica:

One of the limitations of the shell history files is that other than the Media Access Control (MAC) time, there are no timestamps within the file itself. So while knowing what was typed in can be useful for formulating an idea of what may have happened on the host, other correlative measures will have to be taken to determine when those specific actions took place.

Para almacenar los timestamps debemos definir la variable HISTTIMEFORMAT, por ejemplo en el /etc/profile. El contenido de la variable se usa para definir como se mostrará, por ejemplo mediante el siguiente formato:

HISTTIMEFORMAT='%d%m%y %H%M%S -> '

Veríamos:

# history
(...)
 1063  060509 150224 -> history

Lo cual esta indicando el día 6 de mayo de 2009 a las 15:02 y 24 segundos.

Mientras que en el fichero .bash_history quedaria como timestamp:

#1241614944
history

Este timestamp lo podemos traducirlo a un formato legible mediante date:

# date -d @1241614944
Wed May  6 15:02:24 CEST 2009

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>