Có rất nhiều công cụ theo ý của bạn, mà câu hỏi của bạn (và những câu trả lời này) gợi ý như lịch sử, snoopy, audd, sudo log, v.v ... nhưng nếu bạn có "Tập hợp con tài khoản" mọi người đang sử dụng, thì sẽ có không có cách nào ở máy chủ để nói ai đã làm gì Cách duy nhất bạn có thể nói cụ thể là ai đã làm điều đó nếu người dùng có máy tính riêng mà họ sử dụng cụ thể và sử dụng keylogger để cho biết họ đang gõ vật lý gì trên bàn phím đó.
Bất cứ khi nào bạn chia sẻ tài khoản, bạn không thể biết chuyện gì đang thực sự xảy ra, vì bạn cần thêm bằng chứng ai đang sử dụng tài khoản root hoặc tài khoản bob của bạn hoặc bất cứ điều gì mọi người đang làm. Nếu bạn đang cố gắng điều tra những gì đã xảy ra trong một sự cố cụ thể, bạn có thể cần xem lại các chính sách và quy trình truy cập, quy trình phục hồi và đánh giá nhân viên của mình và / hoặc tham gia đào tạo lại nếu cần (hoặc sự tin cậy của họ với các tài khoản nhạy cảm) hơn là trực tiếp tập trung vào việc săn lùng những người đã làm một việc gì đó, vì nó có thể hút nhiều tài nguyên hơn bạn có thể tìm được người đã làm việc đó.
Mặt khác, bạn có thể muốn xem xét các kỹ thuật điều tra pháp y để theo dõi những gì đã xảy ra (hình ảnh ổ đĩa, theo dõi nhật ký, v.v.) Nếu bạn không điều tra một sự cố, hãy xem xét các chính sách của bạn và tiến hành xác minh tài khoản và theo dõi tài khoản tốt hơn (chỉ bạn mới có root, chỉ Bob sử dụng tài khoản của mình bằng sudo để có quyền truy cập vào các đặc quyền cao hơn, cài đặt và giám sát kiểm toán, v.v.) và cẩn thận không làm cho vòng tròn đáng tin cậy của bạn cảm thấy như chúng bị giữ dưới kính hiển vi hoặc bạn có thể xa lánh mọi người đang cố gắng để hoàn thành công việc của họ (hoặc cản trở họ hoàn thành công việc).