Ich versuche herauszufinden, was ein bestimmter Linux-Benutzer auf meinem System getan hat, und habe mir bash_history angesehen, aber es sind keine Daten vorhanden.
Gibt es eine Methode, mit der ich mir Datum/Uhrzeit anzeigen lassen kann?
Antwort1
Soweit mir bekannt ist, gibt es (standardmäßig) kein eindeutiges Protokoll, das jedem von einem Benutzer gestarteten Befehl Datum und Uhrzeit zuordnet.
Sie können jedoch versuchen, die Aktionen eines Benutzers zu erraten, indem Sie die Informationen aus dem Befehl last(der Ihnen Datum und Uhrzeit der Anmeldung des Benutzers am System liefert) mit den Protokollen vergleichen, die Sie /var/logbeispielsweise im Syslog finden.
Mit etwas Glück hat der Befehl eine Protokollausgabe in einem der verschiedenen verfügbaren Protokolle ausgegeben.
Darüber hinaus können Sie Datum und Uhrzeit der Erstellung/Änderung von Dateien überprüfen, von denen Sie vermuten, dass sie von den Befehlen betroffen waren, die Sie in der Bash-History gesehen haben. Dies könnte Ihnen weitere Hinweise darauf geben, was passiert ist.
Antwort2
Das würdenichtAktualisieren Sie .bash_history passiv, aber es würde diese Aufgabe in Zukunft einfacher machen.
Zeitstempel im Verlauf können durch den Export einer Variable namens erstellt werden. HISTTIMEFORMATSie können sie auf das Format setzen, in dem der Zeitstempel aussehen soll, indem Sie die Formatierung strftime verwenden, die Sie durch Ausführen des Befehls finden man strftime, oderHier
Beispiel:
export HISTTIMEFORMAT="%F %T: "
Ich würde vorschlagen, dies in ~/.bashrc einzufügen