Detalhes sobre comandos do sudo executados por todos os usuários

6

De qual log posso obter detalhes sobre comandos do sudo executados por qualquer usuário. Deve conter o diretório de trabalho, comando, usuário. Será útil se você puder me fornecer um script de shell para fazer isso

    
por Rakesh R Nair 14.11.2014 / 10:03

1 resposta

17

Dependendo da sua distro; simplesmente:

$ sudo grep sudo /var/log/secure

ou

$ sudo grep sudo /var/log/auth.log

que dá:

Nov 14 09:07:31 vm1 sudo: pam_unix(sudo:auth): authentication failure; logname=gareth uid=1000 euid=0 tty=/dev/pts/19 ruser=gareth rhost=  user=gareth
Nov 14 09:07:37 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/yum update
Nov 14 09:07:53 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/grep sudo /var/log/secure

O usuário que está executando o comando está após o sudo: - gareth neste caso.

PWD é o diretório.

USER é o usuário que gareth está executando como - root neste exemplo.

COMMAND é o comando executado.

Portanto, no exemplo acima, gareth usou sudo para executar yum update e, em seguida, executou este exemplo. Antes disso, ele digitou a senha incorreta.

Em sistemas mais recentes:

$ sudo journalctl _COMM=sudo

fornece um resultado muito semelhante.

    
por 14.11.2014 / 10:14

Tags