我在 /run/log/journal/... 中找到了这个
MESSAGE=anthony : TTY=pts/10 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/find / -name *systemctI*
我想知道这意味着什么?我对这个过程“”表示怀疑,systemctI因为它与 相差一个字母systemctl。我正在进行一些挖掘,并在日志文件中找到了上述内容。
这是什么意思?我有一种感觉,这意味着该进程正在使用 root 用户,但假装使用“anthony”。它是否正确?
答案1
该语法与 生成的日志消息匹配sudo,但如果您从 的日志文件中查看它systemd,则它可能没有正常的 syslog 样式<timestamp> <hostname> <program name>:前缀。
日志文件采用二进制格式,因此最好使用journalctl命令或其他systemd特定查看器来查看它们。如果您只是在二进制数据中查找文本,您将错过时间戳和其他重要的元数据。
假设这实际上是由 生成的sudo,则意味着用户anthony有一个在伪 TTY 上运行的会话pts/10(= 可能是本地 GUI 会话中的终端窗口,或者例如远程 SSH 会话),cd'd 到根目录,并运行了一个命令sudo find / -name *systemctI*。
last anthony | grep pts/10可能会为您提供有关会话是本地终端窗口还是远程会话以及会话可能发生的时间的更多信息。如果输出的第三个字段last显示:0,则这是本地 X11 GUI 会话;否则它应该具有远程会话的源 IP 地址。