Рубрики
esx*

Как узнать историю выполнения команд VMware ESXi 5.0+

Файлы:

/var/log/shell.log - историю команд (кто из пользователей их выполнял число в квадратных скобках после слова "shell" - это так называемый World ID для сессии (например, 2938482))
/var/log/auth.log - данные об аутентификации пользователей

Через веб-браузер:

https://ESXiHostnameOrIP/host/shell.log  - историю команд 
https://ESXiHostnameOrIP/host/auth.log - данные об аутентификации пользователей

Об логине:

2011-08-29T18:01:00Z login[2938482]: root login on 'char/tty/1' - использовался прямой логин в ESXi Shell

2011-08-29T18:01:00Z sshd[12345]: Connection from 10.11.12.13 port 2605 - использовался логин по SSH
2011-08-29T18:01:00Z sshd[12345]: Accepted keyboard-interactive/pam for root from10.11.12.13 port 2605 ssh2 - использовался логин по SSH
2011-08-29T18:01:00Z sshd[2938482]: Session opened for 'root' on /dev/char/pty/t0 - использовался логин по SSH
2011-08-29T18:01:00Z sshd[12345]: Session closed for 'root' on /dev/char/pty/t0- использовался логин по SSH
2011-08-29T18:35:05Z sshd[12345]: Session closed for 'root' 2 - использовался логин по SSH

2011-08-29T18:01:00Z sshd[12345]: Connection from 10.11.12.13 port 2605 - использовался логин по SSH с использованием публичного ключа
2011-08-29T18:01:00Z sshd[12345]: Accepted publickey for root from 10.11.12.13 port 2605ssh2  - использовался логин по SSH с использованием публичного ключа
2011-08-29T18:01:00Z sshd[2938482]: Session opened for 'root' on /dev/char/pty/t0 - использовался логин по SSH с использованием публичного ключа
2011-08-29T18:01:00Z sshd[12345]: Session closed for 'root' on /dev/char/pty/t0 - использовался логин по SSH с использованием публичного ключа
2011-08-29T18:35:05Z sshd[12345]: Session closed for 'root' 2 - использовался логин по SSH с использованием публичного ключа