Я пытаюсь увидеть, что сделал конкретный пользователь Linux в моей системе, и я посмотрел на bash_history, но у него нет никаких дат.
Есть ли способ, который я могу посмотреть, который дал бы мне даты / время?
2 ответа
0
Из того, что я знаю, нет (по умолчанию) нет определенного журнала, который связывает дату / время с каждой командой, запущенной пользователем.
Однако вы можете попытаться угадать действия, совершенные пользователем, подсчитав информацию из last команды (которая даст вам дату и время, когда пользователи вошли в систему) с журналами, которые вы найдете в /var/log такими как syslog ,
Случайно команда выдала некоторый вывод журнала в один из различных доступных журналов.
Кроме того, вы можете проверить даты и время создания / изменения файлов, которые, как вы подозреваете, были затронуты командами, которые вы видели в bash_history, это может дать вам еще несколько советов о том, что произошло.
0
Это не приведет к пассивному обновлению .bash_history, но облегчит эту задачу в будущем.
Отметки времени в истории можно сделать, экспортировав переменную с именем HISTTIMEFORMAT вы должны установить формат, который вы бы хотели, чтобы отметка времени выглядела, используя форматирование strftime, найденное при запуске команды man strftime или здесь
Пример:
export HISTTIMEFORMAT="%F %T: "
Я бы предложил поместить это в ~/.bashrc