Estou tentando ver o que um usuário Linux específico em meu sistema fez e olhei para bash_history, mas ele não tem datas.
Existe um método que eu possa analisar que me forneça datas/horas?
Responder1
Pelo que sei, não existe (por padrão) nenhum log definido que associe data/hora a cada comando iniciado por um usuário.
No entanto, você pode tentar adivinhar as ações que um usuário realizou, contabilizando as informações do comando last(que fornecerá as datas e horas em que os usuários efetuaram login no sistema) com os logs que você encontrará no /var/logsyslog.
Por acaso, o comando emitiu alguma saída de log em um dos diferentes logs disponíveis.
Além disso, você pode verificar as datas e horas de criação/modificação de arquivos que você suspeita terem sido afetados pelos comandos que você viu no bash_history, isso pode lhe dar mais algumas dicas sobre o que aconteceu.
Responder2
Isso serianãoatualize passivamente .bash_history mas isso tornaria essa tarefa mais fácil no futuro.
Os carimbos de data e hora do histórico podem ser feitos exportando uma variável chamada, HISTTIMEFORMATvocê a definiria para o formato que gostaria que o carimbo de data e hora tivesse usando a formatação strftime encontrada executando o comando man strftimeouaqui
Exemplo:
export HISTTIMEFORMAT="%F %T: "
Eu sugeriria colocar isso em ~/.bashrc