Где регистрируются инциденты sudo?

29

Когда кто-то не входит в группу sudoers и пытается использовать sudo, получите сообщение об ошибке, подобное этому:

yzT is not in the sudoers file. This incident will be reported.

Я пытаюсь выяснить, в каком журнале регистрируется эта информация, для проверки, кто, например, пытался выполнить команду с помощью sudo, но не может ее найти.

Первый поиск в Google говорит, /var/log/syslogно я не вижу никакой информации, связанной с sudo.

logs sudo eez0
источник
20
Это зарегистрировано удаленно: xkcd.com/838
depquid
1
Последние новости ...
Николас

Ответы:

41

В системах Linux, основанных на Redhat, таких как Centos или Fedora, он находится в:

  /var/log/secure

и для систем на основе Debian, таких как Ubuntu, он находится в:

  /var/log/auth.log
Ходжат Тахери
источник
1
Но как я могу узнать это самостоятельно, не прибегая к помощи Google?
Турхан Бадалов
1
Легко! Прочитайте исходный код.
LadyCailin
cat /var/log/auth.log | grep «3 попытки неверного пароля»
dedunumax
3

Не берите в голову, это в /var/log/auth.log.

eez0
источник
По умолчанию уведомления также должны быть отправлены пользователю root, хотя это настраивается.
depquid
3

в Fedora это находится в /var/log/audit/audit.log

Шахрам Пезешки
источник
1
это зависит от файла / etc / sudoers, вы должны искать эту запись: Файл журнала по умолчанию = / var / log / file_name
Shahram Pezeshki