Log de desligamento Linux UserName

Navegue suas respostas
2

Posso saber quem emitiu o comando shutdown em qualquer sistema * nix em um sistema multiusuário? Eu quero saber o nome do usuário que emitiu o comando específico.

    
por ASCIIbetical 02.01.2014 / 09:24

1 resposta

6

OBSERVAÇÃO: Essa resposta principal se concentra em mostrar quando um sistema foi inicializado / encerrado. Obtendo o usuário real que realizou o desligamento é um pouco mais complicado. A melhor maneira que eu já vi isso, é limitar o acesso a um sistema, e apenas dar certos operadores sudo direitos para o comando shutdown . Isto lhe dará um registro de quem executou o comando sudo e em que momento eles o fizeram. Isso é muito melhor do que tentar hackear o comando shutdown !

1. Analisando arquivos de log

A maioria dos sistemas já tem essa informação contida em seus registros, você só precisa saber o que procurar.

Os arquivos de log /var/log/messages , /var/log/syslog (Ubuntu) ou /var/log/secure (CentOS) normalmente terão isso.

Exemplos 

$ sudo grep -iE "shutdown|boot" secure*
secure-20131215:Dec 14 02:08:56 greeneggs sudo:     saml : TTY=pts/6 ; PWD=/home/saml ; USER=root ; COMMAND=/sbin/reboot

2. Última vez que o sistema foi inicializado?

Para isso, você pode usar o comando who . Especificamente com a opção -b . 

$ who -b
         system boot  2013-08-01 17:56

Isso diz que a última vez que o sistema foi inicializado foi 2013-08-01.

3. Reinicializações passadas

Se você estiver interessado em ver uma lista mais extensa de reinicializações anteriores, use o comando last . 

$ last reboot | less
reboot   system boot  2.6.35.14-106.fc Thu Aug  1 17:56 - 02:03 (7+08:06)   
reboot   system boot  2.6.35.14-106.fc Thu Aug  1 09:41 - 17:55  (08:14)    
reboot   system boot  2.6.35.14-106.fc Thu Jul 25 15:24 - 17:55 (7+02:31)   
reboot   system boot  2.6.35.14-106.fc Thu Jul 18 18:05 - 15:23 (6+21:17)   
...

4. Desligamentos passados do sistema & mudanças de runlevel?

Você pode usar o comando last para isso também. Você precisará usar a opção -x . 

$ last -x | less
saml     pts/7        :pts/6:S.0       Sat Aug  3 21:30 - 21:30  (00:00)    
saml     pts/6        :0.0             Sat Aug  3 21:29 - 21:30  (00:01)    
saml     pts/4        :0.0             Fri Aug  2 21:49 - 22:16 (2+00:26)   
saml     pts/2        :0.0             Fri Aug  2 13:30 - 22:16 (2+08:45)   
saml     pts/1        :0.0             Fri Aug  2 13:05   still logged in   
saml     pts/0        :0.0             Fri Aug  2 12:37   still logged in   
saml     pts/0        :0.0             Fri Aug  2 12:35 - 12:37  (00:02)    
saml     pts/0        :0.0             Thu Aug  1 17:58 - 12:35  (18:36)    
saml     tty1         :0               Thu Aug  1 17:56   still logged in   
runlevel (to lvl 5)   2.6.35.14-106.fc Thu Aug  1 17:56 - 02:04 (7+08:08)   
reboot   system boot  2.6.35.14-106.fc Thu Aug  1 17:56 - 02:04 (7+08:08)   
shutdown system down  2.6.35.14-106.fc Thu Aug  1 17:55 - 17:56  (00:00)    
runlevel (to lvl 6)   2.6.35.14-106.fc Thu Aug  1 17:55 - 17:55  (00:00)    
saml     tty2                          Thu Aug  1 17:54 - down   (00:01)    
root     tty2                          Thu Aug  1 17:53 - 17:54  (00:00)    
...

Referências

por 02.01.2014 / 09:57

Tags

Debian vs Mint? [fechadas] Processe uma lista de arquivos com espaço nos nomes dos arquivos [duplicados]