/run/log/journal/에서 이것을 찾았습니다...
MESSAGE=anthony : TTY=pts/10 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/find / -name *systemctI*
이것이 무엇을 의미하는지 궁금합니다. 나는 이 과정에 대해 회의적이다. "" systemctI는 한 글자씩 다르기 때문이다 systemctl. 나는 약간의 조사를 하다가 로그 파일에서 위의 내용을 발견했습니다.
무슨 뜻이에요? 나는 이것이 프로세스가 루트를 사용하고 있지만 "Anthony"를 사용하는 척한다는 것을 의미한다고 생각합니다. 맞습니까?
답변1
구문은 생성된 로그 메시지와 일치 sudo하지만 로그 파일에서 보는 경우 systemd일반 syslog 스타일 접두사가 없을 수 있습니다 <timestamp> <hostname> <program name>:.
로그 파일은 바이너리 형식이므로 journalctl명령이나 기타 systemd특정 뷰어를 사용하여 가장 잘 볼 수 있습니다. 바이너리 데이터에서 텍스트만 찾는다면 타임스탬프와 기타 중요한 메타데이터를 놓칠 수 있습니다.
이것이 실제로 에 의해 생성되었다고 가정하면 sudo이는 사용자가 anthony의사 TTY pts/10(= 로컬 GUI 세션의 터미널 창 또는 예를 들어 원격 SSH 세션) 에서 실행 중인 세션을 cd루트 디렉터리로 'd'했다는 것을 의미합니다. 주문을 실행했습니다 sudo find / -name *systemctI*.
last anthony | grep pts/10세션이 로컬 터미널 창인지 원격 세션인지, 그리고 세션이 언제 발생했는지에 대한 자세한 정보를 제공할 수 있습니다. 출력의 세 번째 필드가 last나타나면 :0이는 로컬 X11 GUI 세션입니다. 그렇지 않으면 원격 세션의 소스 IP 주소가 있어야 합니다.