sudo 이벤트는 어디에 기록되나요?

sudo 이벤트는 어디에 기록되나요?

sudoers 그룹에 속하지 않은 누군가가 sudo를 사용하려고 하면 다음과 같은 오류 메시지가 표시됩니다.

yzT is not in the sudoers file. This incident will be reported.

예를 들어 누가 sudo를 사용하여 명령을 실행하려고 시도했지만 찾을 수 없는지 확인하는 등 이 정보가 어떤 로그에 기록되어 있는지 알아내려고 노력했습니다.

첫 번째 Google 검색에는 표시되었지만 /var/log/syslogsudo와 관련된 항목은 표시되지 않았습니다.

답변1

Redhat 기반 Linux 시스템(예: centos 또는 fedora)에서는 다음 위치에 있습니다.

  /var/log/secure

우분투와 같은 데비안 기반 시스템의 경우 다음 위치에 있습니다.

  /var/log/auth.log

답변2

그것은 중요하지 않습니다. 거기에 있습니다 /var/log/auth.log.

답변3

Fedora에서는 /var/log/audit/audit.log에 있습니다.

답변4

Arch Linux(그리고 systemd가 있는 다른 배포판을 가정함)에서 sudo 이벤트는 systemd 로그에 기록되며 명령을 사용하여 액세스할 수 있습니다 journalctl.

journalctl -e최근 로그를 보는 데 사용됩니다. 여기 에는 자체 및 커널을 포함하여 다양한 소스의 성공 또는 실패 호출에 대한 일부 메시지가 포함됩니다 .sudosudo

가장 최근의 커널 감사 메시지만 볼 수 있습니다 journalctl -ke. 다음을 포함하는 메시지 찾기kernel: audit: [...] exe="/usr/bin/sudo" [...]

관련 정보