前言：服务器界的“福尔摩斯”办案现场

大家好，我是你们的服务器侦探老张！今天要聊的话题特别刺激——怎么查服务器被谁占用过。想象一下：你的服务器突然卡成PPT，CPU飙到99%，内存秒变“渣男”（说没就没）……这时候你怒吼：“哪个小可爱在搞事情？！”别急，老张教你用专业手段+沙雕比喻，把“凶手”揪出来！

第一招：`last`命令——查登录记录的“监控录像”

适用场景：怀疑有人偷偷SSH登录搞事情。

Linux系统自带的`last`命令，简直就是服务器版的“门禁打卡机”。输入这行代码：

```bash

last

```

你会看到一串列表，比如：

```

zhangsan pts/0 192.168.1.100 Tue May 14 10:30 - 12:45 (2小时15分)

lisi pts/1 203.156.34.12 Mon May 13 22:00 - crash (1小时)

翻译成人话：

- zhangsan从IP`192.168.1.100`登录过，玩了2小时15分（可能在看猫视频）。

- lisi更狠，直接玩到服务器崩溃（crash），建议请他喝奶茶聊聊人生。

进阶技巧：

- `last -i` 显示IP而非主机名（方便追踪）。

- `lastb` 查看失败的登录尝试（抓黑客必备）。

第二招：`netstat`/`ss`——网络连接的“狗仔队”

适用场景：发现服务器流量异常，怀疑有人在偷偷传数据。

输入以下命令（二选一）：

netstat -tulnp

传统工具

ss -tulnp

更快更骚的替代品

输出示例：

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1234/nginx

tcp 0 0 192.168.1.5:22 203.156.34.12:6666 ESTAB 5678/sshd: lisi

破案关键点：

1. Foreign Address（外部地址）：比如`203.156.34.12:6666`，说明IP为203.156.34.12的家伙正通过SSH（端口22）连你的服务器。

2. PID/Program（进程ID和程序名）：直接锁定是哪个程序在搞鬼（比如`nginx`或`sshd`）。

沙雕比喻：这就像在夜店门口蹲点，发现张三的奥迪A6停在了VIP车位，车里还放着《最炫民族风》——实锤了！

第三招：`auditd`日志——服务器的“黑匣子”

适用场景：需要高端操作记录（比如谁删了数据库？）。

Linux的`auditd`服务能记录所有敏感操作，堪称运维界的“行车记录仪”。先安装并启动它：

sudo apt install auditd

Debian/Ubuntu

sudo systemctl start auditd

然后查询日志：

ausearch -k mykey | aureport -f -i

按关键词筛选

type=EXECVE pid=1234 uid=1000 cmd="rm -rf /data"

哦豁！

翻译惨案现场：用户ID为1000的家伙执行了`rm -rf /data`（经典删库跑路姿势）。此时你应该：

1. 掏出手机拍下屏幕；

2. 发给老板并附言：“涨工资还是报警，您选。”

Bonus技巧：Windows服务器的破案方法

如果你用Windows服务器，也有神器：

1. 事件查看器（Event Viewer）：路径是“Windows日志 → 安全”，查登录事件ID 4624（成功登录）和4625（失败登录）。

2. 资源监视器（Resource Monitor）：看哪个进程在狂吃CPU/内存，右键就能结束它！（简单粗暴）

表：快速对照工具箱

| 场景 | Linux命令 | Windows工具 | 效果比喻 |

|||-||

| 查谁登录过 | `last`, `lastb` | 事件查看器 | 翻门禁记录 |

| 查谁在连网络 | `netstat`, `ss` | 资源监视器 | 蹲点抓现行 |

| 查谁动了敏感文件 | `auditd`, `ausearch` | 文件审计策略 | 调监控录像 |

最后一句灵魂拷问

下次服务器再被占，别只会重启了！用这三招，你也能变身运维界柯南——真相永远只有一个！（凶手通常是那个说“我就改个小配置”的同事……）

TAG:怎么查服务器被谁占用过,怎么查看服务器是否在使用,怎么查服务器被谁占用过了,怎么查服务器上谁删除了东西,怎么查看服务器有没有被攻击,怎么查服务器端口被占用