Dependendo da sua distro; simplesmente:
$ sudo grep sudo /var/log/secure
ou
$ sudo grep sudo /var/log/auth.log
que dá:
Nov 14 09:07:31 vm1 sudo: pam_unix(sudo:auth): authentication failure; logname=gareth uid=1000 euid=0 tty=/dev/pts/19 ruser=gareth rhost= user=gareth
Nov 14 09:07:37 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/yum update
Nov 14 09:07:53 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/grep sudo /var/log/secure
O usuário que está executando o comando está após o sudo:
- gareth
neste caso.
PWD
é o diretório.
USER
é o usuário que gareth
está executando como - root
neste exemplo.
COMMAND
é o comando executado.
Portanto, no exemplo acima, gareth
usou sudo
para executar yum update
e, em seguida, executou este exemplo. Antes disso, ele digitou a senha incorreta.
Em sistemas mais recentes:
$ sudo journalctl _COMM=sudo
fornece um resultado muito semelhante.