Hoe de opdrachtgeschiedenis van een andere gebruiker in Linux bekijken?

Op Debian-gebaseerde besturingssystemen, zou het uitvoeren vantail /var/log/auth.log | grep username u de sudo geschiedenis van een gebruiker moeten geven. Ik geloof niet dat er een manier is om een geünificeerde commando geschiedenis te krijgen van de normale + sudo commando’s van een gebruiker.

Op RHEL-gebaseerde besturingssystemen, zou je /var/log/secure moeten controleren in plaats van /var/log/auth.log.

Ik heb net het volgende getest, en het werkte als een charme.

sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history

Als de gebruiker een commando gaf zoals in sudo somecommand, dan zal het commando in het systeemlog verschijnen.

Als de gebruiker een shell spawnde met b.v., sudo -s, sudo su, sudo sh, etc, dan kan het commando misschien in de geschiedenis van de root gebruiker verschijnen, dat wil zeggen, in /root/.bash_history of iets dergelijks.

gebruik onderstaand commando

sysdig -c spy_users

indien sysdig niet geinstalleerd , installeer hier

# zless /var/log/auth* is je vriend hier. Het opent zelfs de gzipped bestanden. Je kunt daartussen springen met :n vooruit of :p achteruit.

Als alternatief kun je bijvoorbeeld ook # journalctl -f -l SYSLOG_FACILITY=10 gebruiken. Lees hier meer over op de Arch Linux wiki

De logica geldt voor veel andere doelen.
En hoe lees je .sh_history van elke gebruiker uit /home/ bestandssysteem? Wat als het er duizenden zijn?

#!/bin/ksh
last |head -10|awk '{print $1}'|
 while IFS= read -r line
 do
su - "$line" -c 'tail .sh_history'
 done

Hier is het script.