Befehl oder Programm Benutzerzugriffprotokollierung

[chrisg]

Hallo,

ich suche, mittlerweile verzweifelt, nach einem Befehl der mir ausgibt welcher User was mit welcher Datei
auf meinem System so getrieben hat. Also eine Art getuntes "stat"...
Ich hab mir einen simplen incron-Tab gestrickt der das Verzeichniss /var/archiv überwacht:
/var/archiv/ IN_ALL_EVENTS,IN_NO_LOOP /root/skript/blabla.sh $@ $# $%

blabla.sh enthält einfach nur:
echo $3 >> /var/log/incron/10072017.log == hiermit logge ich halt was passiert
stat $1/$2 >> /var/log/incron/10072017.log == hiermit schaue ich was bearbeitet wurde

Bis hierhin funzt alles so wie ich es gerne hätte. Ich beiße mir grad aber die Zähne aus um mitzuschreiben wer (also in welchem
Benutzerkontext) die Datei manipuliert hat. "lsof" brachte nicht wirklich was. Ich habe mit User1 eine Datei angelegt.
Ein User2 hat die Datei von User1 bearbeitet und abgespeichert (ich habe mcedit einfach mal dumm benutzt).
Der incrontab wird als root Benutzer ausgeführt.
Ist meine Ansatz überhaupt so in der Art umsetzbar oder bin ich auf dem totalen Holzweg?
Bin für jeden Tipp dankbar...

Viele Grüße
Christian

[catdog2]

Ich würde mich tendenziell mal in Richtung auditd umsehen.

[chrisg]

Danke dir. Ist das was ich gesucht habe....