我可以从哪个日志中获取有关任何用户执行的 sudo 命令的详细信息。它应该包含工作目录、命令、用户。如果你能提供一个 shell 脚本来这样做会很有帮助
gar*_*Red 29
取决于您的发行版;简单地:
$ sudo grep sudo /var/log/secure
或者
$ sudo grep sudo /var/log/auth.log
这使:
Nov 14 09:07:31 vm1 sudo: pam_unix(sudo:auth): authentication failure; logname=gareth uid=1000 euid=0 tty=/dev/pts/19 ruser=gareth rhost= user=gareth
Nov 14 09:07:37 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/yum update
Nov 14 09:07:53 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/grep sudo /var/log/secure
在这种情况下,运行命令的用户在sudo:-之后gareth。
PWD 是目录。
USER是在此示例中gareth以 - 身份运行的用户root。
COMMAND 是命令运行。
因此,在上面的例子中,gareth使用的sudo运行yum update,然后运行该示例。在此之前,他输入了错误的密码。
在较新的系统上:
$ sudo journalctl _COMM=sudo
给出了非常相似的输出。
| 归档时间: |
|
| 查看次数: |
36939 次 |
| 最近记录: |