Comment afficher l'historique des commandes d'un autre utilisateur sous Linux?
Comment puis-je voir l'historique des commandes d'un autre utilisateur?
Je suis un administrateur sur ma machine. Je peux voir l'historique normal en consultant /home/user_name/.bash_history mais je ne peux pas voir les commandes de ce user_name quand ils étaient en train de faire Sudo.
Existe-t-il un moyen de visualiser toutes les commandes exécutées par un utilisateur?
Sur les systèmes d'exploitation basés sur Debian, l'exécution de tail /var/log/auth.log | grep username devrait vous donner l'historique Sudo d'un utilisateur. Je ne crois pas qu'il soit possible d'obtenir un historique des commandes unifiées des commandes normales + Sudo d'un utilisateur.
Sur les systèmes d'exploitation basés sur RHEL, vous devez vérifier /var/log/secure au lieu de /var/log/auth.log.
Je viens de tester ce qui suit, et cela a fonctionné à merveille.
Sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history
Si l'utilisateur a émis une commande telle que dans Sudo somecommand, la commande apparaîtra dans le journal système.
Si l'utilisateur a créé un shell avec, par exemple, Sudo -s, Sudo su, Sudo sh, etc., la commande peut apparaître dans l'historique de l'utilisateur root, c'est-à-dire , en /root/.bash_history ou similaire.
# zless /var/log/auth* est votre ami ici. Il ouvre même les fichiers gzippés. Vous pouvez basculer entre ceux avec :n avant ou :p arrière.
Alternativement, vous pouvez utiliser # journalctl -f -l SYSLOG_FACILITY=10 par exemple. Plus d'informations à ce sujet sur le wiki Arch Linux
Peut-être que ce lien a une valeur pour vous: http://www.Sudo.ws/pipermail/Sudo-users/2000-March/000052.html
Mais gardez bien à l'esprit que ne laisser aucune trace dans bash_history consiste simplement à lancer une commande avec un espace, etc. L'historique est une aide, pas un outil de journalisation.
Salutations d'Allemagne, Daniel Leschkowski