有人重启了我们的 Linux 服务器,我想知道是哪个用户做的。
此服务器上可能有多个用户具有 sudo 权限,是否有任何特定的日志文件可以跟踪上次重启的用户?
编辑:我使用的是 Red Hat 6.3
小智 11
您可以使用“ last”进行检查。它显示系统何时重新启动以及谁登录和注销。
从联机帮助页:
Run Code Online (Sandbox Code Playgroud)last, lastb - show listing of last logged in users
如果您的用户必须使用 sudo 重新启动服务器,那么您应该能够通过查看相关的日志文件来找到是谁做的。对于 CentOS 之类的发行版,请查看/var/log/secureUbuntu 之类的/var/log/auth log.
如果您使用不同的操作系统或发行版,您可以通过阅读 sudoers 手册页来跟踪日志文件,其中包含有关默认使用的日志工具以及如何更改它的信息。有了它,您就可以检查您的系统日志配置...
小智 5
每个Linux/unix系统都有各种/var/log/secure。
对于 Ubuntu,我猜您正在使用,请尝试 /var/log/auth.log。
我会建议:
sudo grep sudo /var/log/auth.log
您将得到类似于以下内容的结果:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash