Sui sistemi operativi basati su Debian, facendo tail /var/log/auth.log | grep username dovrebbe darti il sudo di un utente storia. Non credo che ci sia un modo per ottenere una cronologia dei comandi unificata dei normali comandi + sudo di un utente.
Sui sistemi operativi basati su RHEL, dovresti selezionare /var/log/secure invece di /var/log/auth.log .
Ho appena testato quanto segue e ha funzionato a meraviglia.
sudo vim /home/USER_YOU_WANT_TO_VIEW/.bash_history
Se l'utente ha emesso un comando come in sudo somecommand , il comando verrà visualizzato nel registro di sistema.
Se l'utente ha generato una shell con ad esempio sudo -s , sudo su , sudo sh , ecc., quindi il comando may appaiono nella cronologia dell'utente root, cioè in /root/.bash_history o simili.