有人重新启动了我们的 Linux 服务器,我想找出是哪个用户做的这件事。
该服务器上可能有多个具有 sudo 权限的用户,是否有任何特定的日志文件可以跟踪上次重启的用户?
编辑:我正在使用 Red Hat 6.3
答案1
您可以使用“ last”来检查。它显示系统何时重启以及哪些人登录和退出。
来自手册页:
last, lastb - show listing of last logged in users
答案2
如果您的用户必须使用 sudo 来重启服务器,那么您应该能够通过查看相关日志文件来找到执行此操作的人。对于 CentOS 之类的发行版,请查看/var/log/secure;对于 Ubuntu 之类的发行版,请查看/var/log/auth log。
如果您使用的是不同的操作系统或发行版,您可以通过阅读 sudoers 手册页来跟踪日志文件,其中包含有关默认使用的日志工具以及如何更改它的信息。有了它,您可以检查您的 syslog 配置...
答案3
每个 Linux/unix 系统都有各种 /var/log/secure。
对于 Ubuntu,我猜您正在使用,请尝试 /var/log/auth.log。
我会建议:
sudo grep sudo /var/log/auth.log
您将获得类似如下的结果:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash