Comment puis-je afficher l'historique des commandes d'un autre utilisateur?
Je suis un administrateur sur ma machine. Je peux voir l'historique normal en consultant /home/nom_utilisateur/.bash_history mais je ne peux pas voir les commandes de ce nom_utilisateur lorsqu'il utilisait sudo.
Y a-t-il un moyen de voir toutes les commandes exécutées par un utilisateur?
Sur les systèmes d'exploitation basés sur Debian, faire tail /var/log/auth.log | grep username devrait vous donner l'historique sudo d'un utilisateur. Je ne crois pas qu'il y ait un moyen d'obtenir un historique de commande unifié des commandes normales d'un utilisateur + sudo.
Sur les systèmes d'exploitation basés sur RHEL, vous devriez vérifier /var/log/secure au lieu de /var/log/auth.log.
Si l'utilisateur a exécuté une commande comme dans sudo somecommand, la commande apparaîtra dans le journal du système.
Si l'utilisateur a lancé un shell avec par exemple, sudo -s, sudo su, sudo sh, etc, alors la commande peut apparaître dans l'historique de l'utilisateur root, c'est-à-dire dans /root/.bash_history ou similaire.
# zless /var/log/auth* est votre ami ici. Il ouvre même les fichiers compressés. Vous pouvez naviguer entre eux avec :n vers l'avant ou :p vers l'arrière.
Alternativement, vous pouvez utiliser # journalctl -f -l SYSLOG_FACILITY=10 par exemple. Pour en savoir plus, consultez le wiki d'Arch Linux
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
