Linux如何查命令是谁执行的

要查找Linux命令是谁执行的，可以使用以下几种方法：

1. 使用”history”命令：在终端中输入”history”可以查看所有执行过的命令历史记录。该命令会显示执行命令的用户和时间戳。通过查找特定命令的关键字，可以找到执行该命令的用户。

2. 使用”who”命令：输入”who”命令可以列出当前登录系统的用户信息，包括用户名、远程登录IP地址和登录时间。通过与命令执行的时间进行对比，可以确定执行命令的用户。

3. 使用”last”命令：输入”last”命令可以查看最近登录系统的用户记录，包括用户名、登录IP地址、登录时间和退出时间。通过查找特定命令执行的时间段，可以找到最有可能执行该命令的用户。

4. 使用”ps”命令：输入”ps -ef”可以列出当前正在运行的进程和它们的相关信息，包括进程ID、父进程ID、用户等。通过查找与执行命令相关的进程，可以确定执行命令的用户。

5. 使用”/var/log/auth.log”文件：在Linux系统中，命令执行的相关信息会记录在”/var/log/auth.log”文件中。可以使用文本编辑器打开该文件，通过查找特定命令的关键字，可以找到执行该命令的用户和时间。

总结起来，通过使用”history”命令、”who”命令、”last”命令、”ps”命令以及查看”/var/log/auth.log”文件，可以找到Linux命令是由谁执行的。

在Linux系统中，可以使用以下几种方式来查找命令是由哪个用户执行的：

1. 使用history命令：history命令可以查看当前用户执行过的命令历史记录。通过执行“history”命令，可以得到当前用户执行过的所有命令列表，并且每条命令前面都会标明执行该命令的用户。

2. 使用whoami命令：whoami命令可以显示当前用户的用户名。如果想要查看某个具体命令是由当前用户执行的，可以先执行whoami命令，然后再执行需要查找的命令。如果whoami命令的输出和目标命令执行时相同，那么说明该命令是由当前用户执行的。

3. 使用last命令：last命令可以显示当前系统上的用户登录历史记录。通过执行“last”命令，可以得到最近登录系统的用户列表，并且显示每个用户最后登录的时间、终端和IP地址，从而可以判断某个命令的执行者。

4. 使用w命令：w命令可以显示当前系统上已登录用户的信息，包括用户名、终端、登录时间、登录时长等。通过执行“w”命令，可以得到当前系统上所有已登录用户的列表，从而可以查找某个命令的执行者。

5. 使用ps命令：ps命令可以显示当前系统上正在运行的进程。通过执行“ps -ef”命令，可以得到当前系统上所有正在运行的进程列表，并且显示每个进程的用户名、进程ID、启动时间等。通过筛选相关进程，可以找到执行某个命令的进程对应的用户。

需要注意的是，这些方法只能查找到命令被执行的用户，无法查找到命令是由何种方式（例如通过终端、通过定时任务等）执行的。如果需要更详细的命令历史记录以及执行方式，可以考虑使用系统审计工具进行进一步分析。

在Linux中，可以通过以下几种方法查找命令是由谁执行的：

1. `history` 命令: 通过使用 `history` 命令可以查看执行过的命令历史记录。该命令会列出最近执行的命令，并显示相应的命令号码。可以使用 `history` 命令的输出结果来确定某个特定命令是由哪个用户执行的。例如，执行 `history | grep command_name` 来搜索某个特定的命令。

2. `whoami` 命令: 该命令可以显示当前登录用户的用户名。执行 `whoami` 命令可以查看当前执行命令的用户。

3. `ps` 命令: 通过使用 `ps` 命令可以查看系统中正在运行的进程信息。可以使用 `ps aux | grep command_name` 来搜索某个特定的命令。输出结果中会显示该命令是由哪个用户执行的。

4. `last` 命令: 该命令可以显示用户最近登录活动的日志。可以使用 `last | grep username` 命令来查找某个特定用户的登录活动记录。在输出结果中可以找到用户登录的时间和执行的命令。

5. `sudo` 命令: 如果某个命令是通过超级用户权限来执行的，可以查看 sudo 命令的日志文件来确定命令是由哪个用户执行的。在大多数Linux系统中，sudo 命令的日志文件位于 `/var/log/secure` 或 `/var/log/auth.log` 目录下。使用 `grep sudo /var/log/secure` 命令来搜索 sudo 命令的日志记录。在输出结果中可以找到命令是由哪个用户使用 sudo 权限执行的。

通过以上方法，可以查找出Linux中执行某个命令的用户。