当某人不在 sudoers 组中并尝试使用 sudo 时,会收到如下错误消息:
yzT is not in the sudoers file. This incident will be reported.
我试图弄清楚此信息记录在哪个日志中,例如检查谁尝试使用 sudo 运行命令,但找不到它。
第一个谷歌搜索显示/var/log/syslog
但我没有看到任何与 sudo 相关的信息。
答案1
在基于 redhat 的 Linux 系统(如 centos 或 fedora)上,它位于:
/var/log/secure
对于像 ubuntu 这样的基于 Debian 的系统,它位于:
/var/log/auth.log
答案2
没关系,它在/var/log/auth.log
.
答案3
在 Fedora 中,它位于 /var/log/audit/audit.log
答案4
在 Arch linux 上(我假设其他带有 systemd 的发行版),sudo 事件被记录到 systemd 日志中,并且可以使用命令进行访问journalctl
。
用于查看最近的日志,其中将包括来自各种来源(包括其本身和内核)journalctl -e
的每个成功或不成功调用的一些消息。sudo
sudo
只能看到最近的内核审计消息journalctl -ke
。查找包含以下内容的消息kernel: audit: [...] exe="/usr/bin/sudo" [...]