Wem werden Vorfälle wirklich gemeldet, und wie kann ein sudo-Benutzer auf die Berichte zugreifen?

Wenn mein Nicht-Sudo-Konto versucht, einen Sudo-Befehl auszuführen:

nonsudo@Hairy14:$ sudo hello

Ein Vorfall wird gemeldet:

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Ich vermute, es ist nicht wirklich der Weihnachtsmann. Wem wird es gemeldet (oder wo) und wie kann ich darauf zugreifen?

(Aus xkcd , von Randall Munroe)

Der Titel des Bildes könnte uns einen Hinweis geben:

Er sieht dich, wenn du schläfst, er weiß, wenn du wach bist, er kopiert weiter /var/spool/mail/root, also sei gut um Himmels willen.

Was ist /var/spool/mail/rootenthalten? Ähh, für mich als normalen Benutzer nichts:

cat: /var/spool/mail/root: No such file or directory

Und das selbe mit sudo. Für mich gibt es keine/var/spool/mail/root

Es stellt sich heraus, dass Ubuntu anders ist - standardmäßig geht die Mail von root an /dev/nulloder an das Schwarze Loch in Ihrem Computer.

Um unsere Protokolle zu finden, müssen wir hineinschauen

/var/log/auth.log

Und siehe da, a sudo catgibt uns diese Zeile:

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Beachten Sie, dass manchmal (z. B. wenn Ihr Konto kein Kennwort hat, deaktiviert ist) der Befehl einfach nicht ausgeführt werden kann, aber dennoch auf die gleiche Weise gemeldet wird:

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Beachten Sie, dass es neben den "frechen" Berichten noch viele andere Texte gibt . Möglicherweise müssen Sie grep.

Meine Pronomen sind Er / Ihn