Gdzie są rejestrowane incydenty sudo?

29

Gdy ktoś nie należy do grupy sudoers i próbuje użyć sudo, otrzymaj taki komunikat o błędzie:

yzT is not in the sudoers file. This incident will be reported.

Próbuję dowiedzieć się, w którym dzienniku są rejestrowane te informacje, aby sprawdzić, kto próbował na przykład uruchomić polecenie w sudo, ale nie może go znaleźć.

Pierwsza wyszukiwarka Google mówi, /var/log/syslogale nie widzę tam żadnych informacji związanych z sudo.

eez0
źródło
20
Jest on logowany zdalnie: xkcd.com/838
depquid

Odpowiedzi:

41

W systemach Linux opartych na redhat, takich jak centos lub fedora, znajduje się w:

  /var/log/secure

a dla systemów opartych na Debianie, takich jak ubuntu, znajduje się w:

  /var/log/auth.log
Hojat Taheri
źródło
1
Ale skąd mam to wiedzieć na własną rękę, bez googlowania?
Turkhan Badalov
1
Łatwy! Przeczytaj kod źródłowy.
LadyCailin
cat /var/log/auth.log | grep „3 nieprawidłowe hasła”
dedunumax
3

Nieważne, jest w środku /var/log/auth.log.

eez0
źródło
Powiadomienia powinny być również domyślnie wysyłane pocztą e-mail do roota, ale można to skonfigurować.
depquid
3

w Fedorze znajduje się w /var/log/audit/audit.log

Shahram Pezeshki
źródło
1
zależy to od pliku / etc / sudoers, powinieneś poszukać tego rekordu: Domyślny plik dziennika = / var / log / nazwa_pliku
Shahram Pezeshki