Redhat Linux 日志记录哪个用户运行了关机

Redhat Linux 日志记录哪个用户运行了关机

在 Redhat 生产机器上,有人刚刚运行了关机,我需要找到具体显示哪个用户运行了“关机”命令的日志文件(以及何时运行最好)。

答案1

只有 root 可以运行关机,因此该用户是 root。

希望您强制使用 来sudo运行 root 命令。在这种情况下,请查看/var/log/secure以找出是谁执行的sudo shutdown

答案2

根据命令的执行方式,这可能会有点棘手。

  1. 检查你的 sudo 日志,他们正在使用 sudo 对吗?!?
  2. 如果直接以 root 身份运行,请查看还有谁同时登录。通过命令使用 wtmp 文件last可能会有所帮助。
  3. 如果他们以 root 身份远程登录,请再次检查last他们登录的地址以及当时谁在使用该系统。此外,修复此问题,使他们无法以 root 身份远程登录。
  4. 如果通过控制台登录,请检查您的访问日志以查看当时谁对系统有物理访问权限。

答案3

last|head

希望不要有太多管理员以 root 身份同时登录。

相关内容