Linux Audit Server Reboots

Saya menjalankan AuditD pada Centos 6.5.

Apakah ada cara untuk mengaudit reboot server - siapa dan kapan server di-reboot? Jadi jika saya masuk dan menjalankan:

sudo reboot 

Saya akan melihat entri log di /var/log/audit/audit.log dengan sesuatu seperti ini:

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"

Tambahkan aturan untuk itu ke audit.rules

-w /sbin/shutdown -p x -k power

Anda dapat mencoba melihat log juga jika Anda tidak bisa atau tidak ingin mengonfigurasi aturan audit:

sudo grep sudo /var/log/auth.log

Setiap perintah sudo yang dieksekusi akan ada di sana, sehingga Anda dapat menemukannya dengan mencari 'reboot' atau 'shutdown'.