如何查看Linux中root用户上次退出前的命令输出？

一、Linux中root用户命令执行记录的常规来源分析

在Linux系统中，.bash_history 文件是默认保存用户历史命令的位置。对于root用户，该文件通常位于 /root/.bash_history。此文件仅记录命令本身，不包含命令输出或执行时间戳。

# 查看root用户的命令历史
sudo cat /root/.bash_history

# 显示带行号和时间的历史（需HISTTIMEFORMAT已设置）
history | tail -20

然而，若会话非正常退出（如断电、SSH连接中断），history 缓冲区中的未写入命令可能丢失。此外，用户可通过 history -c 清除历史，或通过修改环境变量绕过记录，因此依赖 .bash_history 存在审计盲区。

二、利用系统日志追踪登录与操作行为

系统级日志可提供比shell历史更可靠的审计线索。以下为关键日志路径及其用途：

例如，使用 journalctl 查询root用户的最近登录：

# 查看root用户的登录会话（UID=0）
journalctl _UID=0 --since "1 hour ago"

# 结合TTY查看交互式会话
journalctl TTY=tty1 | grep "session opened"

三、通过 last 与 who 命令重建会话轨迹

last 命令读取 /var/log/wtmp，展示用户登录登出历史。结合 who 可判断当前活跃会话。

# 显示所有root登录记录
last root

# 输出示例：
# root     pts/0        192.168.1.100    Mon Apr  5 14:23   still logged in
# root     tty1                          Mon Apr  5 10:15 - 12:30  (02:15)

若上次会话未正常退出，“still logged in”标记将保留，提示异常终止。此时可检查是否有残留进程：

ps aux | grep -E "(sshd|bash)" | grep root

四、script命令：终端会话录屏级审计机制

script 是一种主动式日志工具，能完整记录终端输入与输出。若系统已配置自动启动 script（如通过shell profile）：

# 启动会话记录
script -a /var/log/root_session.log

# 回放录制内容
scriptreplay /var/log/root_session.log

理想情况下，可在 /etc/profile.d/ 或 /root/.bash_profile 中加入自动录屏逻辑：

if [ "$UID" -eq 0 ] && [ -z "$SCRIPT_ACTIVE" ]; then
    export SCRIPT_ACTIVE=1
    script -f -q /var/log/audit/root_$(date +%Y%m%d_%H%M%S).log
fi

五、高级审计方案：auditd 与集中式日志集成

对于多用户环境或合规性要求高的场景，应部署 auditd（Linux Audit Daemon）。它可监控系统调用、文件访问及命令执行。

1. 启用对root shell的监控：

auditctl -w /bin/bash -p x -U root -k root_shell_exec

1. 查询相关事件：

ausearch -k root_shell_exec --time recent

输出将包含执行时间、PID、PPID、终端设备等信息，但依然无法捕获输出内容。为此，建议结合如下架构：