LINUX怎么查看命令的执行历史和时间_Linux命令历史与时间查看方法

启用HISTTIMEFORMAT环境变量可记录命令执行时间，通过修改~/.bashrc添加export HISTTIMEFORMAT="%F %T "并执行source生效，随后使用history命令查看带时间戳的历史记录；为获取更完整信息，可结合grep过滤或强制写入history -w同步内存记录；对于审计级需求，建议部署auditd工具，通过auditctl监控execve系统调用并用ausearch查询详细操作日志。

如果您在使用LINUX系统时需要追溯之前执行过的命令及其时间信息，以便进行操作审计或故障排查，则可以通过启用和查看命令历史记录功能来实现。默认情况下，bash会保存用户执行的命令列表，但时间戳可能未开启。

本文运行环境：Dell XPS 13，Ubuntu 22.04

一、启用命令历史时间戳显示

通过设置环境变量，可以让每次记录的命令前带上执行时间，便于追踪操作发生的具体时刻。该设置会影响当前用户的.bashrc配置文件。

1、打开终端，编辑当前用户的.bashrc文件：nano ~/.bashrc。

2、在文件末尾添加以下两行内容：

export HISTTIMEFORMAT="%F %T "

export HISTSIZE=5000

3、保存并退出编辑器，执行 source ~/.bashrc 使更改立即生效。

4、此后新执行的每条命令都会在历史中记录时间，格式为“年-月-日 时:分:秒”。

二、查看带时间的命令历史记录

启用HISTTIMEFORMAT后，使用history命令即可查看包含时间戳的命令列表。此方法仅能显示当前用户已记录的历史条目。

1、在终端输入 history 并回车。

360 AI助手

360公司推出的AI聊天机器人聚合平台，集合了国内15家顶尖的AI大模型。

140

查看详情

2、观察输出结果，每一行将显示编号、执行时间及对应的命令内容。

3、若需筛选特定时间段的命令，可结合grep进行过滤，例如：history | grep "2025-04-05" 可找出当天执行的所有命令。

三、直接读取历史文件中的时间记录

bash将命令历史存储在~/.bash_history文件中，而时间信息则依赖于HISTTIMEFORMAT的设置写入。通过直接查看该文件可以绕过history命令的格式限制。

1、使用cat命令查看历史文件内容：cat ~/.bash_history。

2、注意：.bash_history文件通常不实时更新，只有当shell会话退出时才会写入最新记录。

3、如需查看更完整的时间数据，应检查内存中的历史而非仅依赖文件，可先运行 history -w 强制写入当前会话记录。

四、使用shell审计工具增强记录能力

对于需要长期、精确监控所有用户命令行为的场景，可部署专用审计工具auditd，它能记录包括执行时间、用户、进程在内的详细信息。

1、安装auditd工具包：sudo apt install auditd audispd-plugins。

2、添加监控规则以跟踪特定用户的命令执行行为，例如：
sudo auditctl -a always,exit -F arch=b64 -S execve -F euid=1000。

3、查看审计日志使用命令：sudo ausearch -sc execve -ua 1000，输出将包含精确的时间戳和执行路径。

以上就是LINUX怎么查看命令的执行历史和时间_Linux命令历史与时间查看方法的详细内容，更多请关注php中文网其它相关文章！