原标题：你可能不知道的 即时监控 Linux 使用者执行指令的三种方法

这里介绍如何在 Linux 系统上以管理者权限即时监控一般使用者所执行的任何指令。

Linux 的 root 管理者可对系统进行任何的管理与操作，如果想要即时监控特定使用者在主机上所执行的指令，可以使用以下介绍的几种方式。

Bash 历史指令

目前大部分的 Linux 默认的 shell 都是 bash，而 bash 会将使用者执行过的历史指令都储存在 .bash_history 这个档案中，所以只要查看这个档案，就可以知道使用者执行了那一些指令：

sudo cat/home/gtwang/.bash_history

不过由于 bash 并不会即时将新的指令写入 .bash_history，所以这个只能查看使用者过去执行过的指令。

w 指令

w 指令可以列出 Linux 系统上目前有哪些使用者登入，并且显示每个使用者正在执行的指令。

17:34:23up35min,2users,load average:0.49,0.62,0.77

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

gtwang tty7:016:5835:402:170.12s/sbin/upstart-

gtwang tty217:335.00s0.10s0.05s-bash

Sysdig 指令

Sydig 是一个功能强大的系统监控工具，可透过 Linux 系统核心取得即时的资讯，它的使用者监控功能可以显示每个使用者所执行的指令。

使用前要先安装，Ubuntu Linux 可用 apt 安装：

sudo apt-getinstall sysdig

使用 Sydig 即时监控使用者的任何动作：

sudo sysdig-c spy_users

sysdig 监控使用者

Sysdig 的输出包含使用者的 shell 行程 ID、执行的指令与执行时间，最重要的是这些讯息都是直接从 Linux 核心模组上取得的，所以非常即时，当使用者一执行新的指令时，我们马上就可以从 Sysdig 的输出报表中看到。

责任编辑：