sudo 事件记录在哪里?

sudo 事件记录在哪里?

当某人不在 sudoers 组中并尝试使用 sudo 时,会收到如下错误消息:

yzT is not in the sudoers file. This incident will be reported.

我试图弄清楚此信息记录在哪个日志中,例如检查谁尝试使用 sudo 运行命令,但找不到它。

第一个谷歌搜索显示/var/log/syslog但我没有看到任何与 sudo 相关的信息。

答案1

在基于 redhat 的 Linux 系统(如 centos 或 fedora)上,它位于:

  /var/log/secure

对于像 ubuntu 这样的基于 Debian 的系统,它位于:

  /var/log/auth.log

答案2

没关系,它在/var/log/auth.log.

答案3

在 Fedora 中,它位于 /var/log/audit/audit.log

答案4

在 Arch linux 上(我假设其他带有 systemd 的发行版),sudo 事件被记录到 systemd 日志中,并且可以使用命令进行访问journalctl

用于查看最近的日志,其中将包括来自各种来源(包括其本身和内核)journalctl -e的每个成功或不成功调用的一些消息。sudosudo

只能看到最近的内核审计消息journalctl -ke。查找包含以下内容的消息kernel: audit: [...] exe="/usr/bin/sudo" [...]

相关内容