จะดูประวัติคำสั่งของผู้ใช้รายอื่นใน Linux ได้อย่างไร?

ฉันจะดูประวัติคำสั่งของผู้ใช้รายอื่นได้อย่างไร?

ฉันเป็นผู้ดูแลระบบในเครื่องของฉัน ฉันสามารถดูประวัติปกติโดยการดู/home/user_name/.bash_historyแต่ผมไม่สามารถดูคำสั่งที่เมื่อพวกเขากำลังทำuser_namesudo

มีวิธีดูคำสั่งทั้งหมดที่ดำเนินการโดยผู้ใช้รายเดียวหรือไม่?

บนระบบปฏิบัติการที่ใช้เดเบียน tail /var/log/auth.log | grep username ควรให้sudoประวัติผู้ใช้แก่คุณ ฉันไม่เชื่อว่ามีวิธีการรับประวัติคำสั่งรวมของคำสั่ง + sudo ปกติของผู้ใช้

บน RHEL ตามระบบปฏิบัติการที่คุณจะต้องตรวจสอบแทน/var/log/secure/var/log/auth.log

เพิ่งทดสอบต่อไปนี้และมันก็ทำงานได้เหมือนมีเสน่ห์

sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history

หากผู้ใช้ออกคำสั่งเหมือนในsudo somecommandคำสั่งจะปรากฏในบันทึกของระบบ

หากผู้ใช้กระบอกไม้ไผ่เปลือกด้วยเช่นsudo -s, sudo su, sudo shฯลฯ แล้วคำสั่งอาจปรากฏในประวัติศาสตร์ของผู้ใช้รากที่เป็นใน/root/.bash_historyหรือคล้ายกัน

# zless /var/log/auth*เป็นเพื่อนของคุณที่นี่ มันเปิดแม้กระทั่งไฟล์ gzipped คุณสามารถกระโดดไปมาระหว่างคนที่:nไปข้างหน้าหรือ:pข้างหลัง

หรือคุณสามารถใช้# journalctl -f -l SYSLOG_FACILITY=10เป็นต้น อ่านเพิ่มเติมเกี่ยวกับสิ่งนี้บนArch Linux wiki

ใช้คำสั่งด้านล่าง

sysdig -c spy_users

หาก sysdig ไม่ได้ติดตั้งติดตั้งที่นี่

บางทีลิงก์นี้อาจมีค่าสำหรับคุณ: http://www.sudo.ws/pipermail/sudo-users/2000-March/000052.html

แต่คุณควรทราบว่าการไม่ทิ้งร่องรอยไว้ใน bash_history เป็นเพียงเรื่องของการเริ่มต้นคำสั่งด้วยการเว้นวรรค ฯลฯ ประวัติเป็นผู้ช่วยเหลือไม่ใช่เครื่องมือบันทึกข้อมูล

คำทักทายจาก Daniel Daniel จากเยอรมนี

ตรรกะนำไปใช้กับวัตถุประสงค์อื่น ๆ อีกมากมาย
และวิธีการอ่าน. sh_history ของผู้ใช้แต่ละคนจาก / home / filesystem? เกิดอะไรขึ้นถ้ามีหลายพันคน?

#!/bin/ksh
last |head -10|awk '{print $1}'|
 while IFS= read -r line
 do
su - "$line" -c 'tail .sh_history'
 done

นี่คือสคริปต์