Como posso identificar o programa que gravou informações em um arquivo de log?

2

Recentemente, recebi uma mensagem dizendo que algo falhou no sudo no meu laptop Ubuntu. Na época, não acredito que estivesse executando algo que precisasse de sudo. As mensagens que apareceram em /var/log/auth.log são:

Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv]
Jul 16 11:50:56 laptop sudo: mv : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/mv ; USER=root ; COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:

A semelhança com o log in esta pergunta me faz pensar que isso foi gerado pelo gerenciador de atualização.

Existe uma maneira de confirmar se o gerenciador de atualização ou outro programa que causou esse erro foi registrado em /var/log/auth.log? Alternativamente, alguém já viu essa sequência particular de linhas log antes?

Obrigado pela sua ajuda.

Editar :

    O diretório
  • / tmp / tmpBHXhYV / não existe mais
  • Pelo que vejo, enquanto o gerenciador de atualização está em execução, ele cria estes diretórios / tmp / tmpXXXXXX / (onde os X's são aleatórios). Para esclarecer minha dúvida, gostaria de saber se / como posso referenciar diretamente algo no código do gerenciador de atualização que gera linhas desse formato. Eu dei uma olhada no código-fonte para a versão do meu gerenciador de atualização, mas não foi capaz de resolver isso.

Obrigado novamente!

    
por mvermaes 16.07.2014 / 07:49

1 resposta

1

Bem, seus dados colados têm todas as informações úteis: COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:

So env foi chamado para executar ~ / tmp / tmpBHXhYV /: script: 'com sh. Se esse arquivo ainda estiver lá, isso pode ajudá-lo. Não foi chamado de um TTY, então provavelmente de outro aplicativo em execução.

    
por noleti 16.07.2014 / 08:17