Estoy tratando de ver qué hizo un usuario de Linux específico en mi sistema y miré bash_history, pero no tiene fechas.
¿Existe algún método que pueda consultar y que me proporcione fechas/horas?
Respuesta1
Por lo que sé, no existe (por defecto) ningún registro definido que asocie la fecha/hora con cada comando lanzado por un usuario.
Sin embargo, puede intentar adivinar las acciones que realizó un usuario contando la información del comando last(que le dará las fechas y horas en que los usuarios iniciaron sesión en el sistema) con los registros que encontrará, /var/logcomo syslog.
Es posible que el comando emita algún resultado de registro en uno de los diferentes registros disponibles.
Además, puede verificar las fechas y horas de creación/modificación de archivos que sospecha que se han visto afectados por los comandos que vio en bash_history, esto podría brindarle más pistas sobre lo que sucedió.
Respuesta2
Esto seríanoactualice pasivamente .bash_history pero facilitaría esta tarea en el futuro.
Las marcas de tiempo del historial se pueden hacer exportando una variable llamada, HISTTIMEFORMATla configuraría en el formato que le gustaría que tuviera la marca de tiempo usando el formato strftime que se encuentra ejecutando el comando man strftimeoaquí
Ejemplo:
export HISTTIMEFORMAT="%F %T: "
Sugeriría poner esto en ~/.bashrc