Di mana insiden sudo dicatat?

29

Ketika seseorang tidak berada dalam grup sudoers dan mencoba menggunakan sudo, dapatkan pesan kesalahan seperti ini:

yzT is not in the sudoers file. This incident will be reported.

Saya mencoba mencari tahu di mana log informasi ini dicatat, untuk memeriksa siapa yang mencoba menjalankan perintah dengan sudo misalnya, tetapi tidak dapat menemukannya.

Pencarian Google pertama mengatakan /var/log/syslogtetapi saya tidak melihat informasi yang terkait dengan sudo di sana.

logs sudo eez0
sumber
20
Login
depquid
1
Berita utama ...
nikolas

Jawaban:

41

Pada sistem linux berbasis redhat seperti centos atau fedora ada di:

  /var/log/secure

dan untuk sistem berbasis debian seperti ubuntu, ia ada di:

  /var/log/auth.log
Hojat Taheri
sumber
1
Tetapi bagaimana saya bisa mengetahuinya sendiri tanpa googling?
Turkhan Badalov
1
Mudah! Baca kode sumber.
LadyCailin
cat /var/log/auth.log | grep '3 upaya kata sandi salah'
dedunumax
3

Sudahlah, ada di /var/log/auth.log.

eez0
sumber
Pemberitahuan juga harus diemail ke root secara default, meskipun itu dapat dikonfigurasi.
depquid
3

di Fedora ada di /var/log/audit/audit.log

Shahram Pezeshki
sumber
1
itu tergantung pada file / etc / sudoers, Anda harus mencari catatan ini: Default file log = / var / log / file_name
Shahram Pezeshki