在 Redhat 生产机器上,有人刚刚运行了关机,我需要找到具体显示哪个用户运行了“关机”命令的日志文件(以及何时运行最好)。
答案1
只有 root 可以运行关机,因此该用户是 root。
希望您强制使用 来sudo
运行 root 命令。在这种情况下,请查看/var/log/secure
以找出是谁执行的sudo shutdown
。
答案2
根据命令的执行方式,这可能会有点棘手。
- 检查你的 sudo 日志,他们正在使用 sudo 对吗?!?
- 如果直接以 root 身份运行,请查看还有谁同时登录。通过命令使用 wtmp 文件
last
可能会有所帮助。 - 如果他们以 root 身份远程登录,请再次检查
last
他们登录的地址以及当时谁在使用该系统。此外,修复此问题,使他们无法以 root 身份远程登录。 - 如果通过控制台登录,请检查您的访问日志以查看当时谁对系统有物理访问权限。
答案3
last|head
希望不要有太多管理员以 root 身份同时登录。