ルートアクセス権を持つユーザーがプールからジョブ/プロセスを強制終了したことを識別する方法

ノードにrootアクセスできる人が3人か4人いるのか知りたいです。人の1人が実行中のジョブを開始しましたが、誰かが実行中のジョブを強制終了しました。すべてのボディにはルートアクセス権があるため、ジョブ/プロセスを殺した人を識別する最良の方法は何でしょうか。

適切な監査を有効にしないと不可能です。監査なしでは、正確にジョブが強制終了された時刻（そのような情報がある場合）とログインしているユーザーのタイムスタンプに基づいて推測することしかできません。通常のユーザーとしてログインし、root suまたはsudo

監査について-基本は、誰がルートに切り替えているかに基づいて異なる履歴ファイルを設定するルートのログインスクリプトを持つことです。より洗練された監査（カーネル自身がどのユーザーが何をしたかを記録する）については、「Linux監査」をグーグルで調べてください。