我在 Centos 6.5 上运行 AuditD。
有没有办法审计服务器重启- 谁和何时重启服务器?如果我登录并运行:
sudo reboot
我应该在 /var/log/audit/audit.log 中看到类似这样的日志条目:
type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"
答案1
向 audit.rules 添加一条规则
-w /sbin/shutdown -p x -k power
答案2
如果您不能或不想配置审计规则,您也可以尝试查看日志:
sudo grep sudo /var/log/auth.log
每个执行的 sudo 命令都会在那里,因此您可以通过查找“reboot”或“shutdown”来找到它。