Wo werden Sudo-Vorfälle protokolliert?

29

Wenn sich jemand nicht in der Gruppe sudoers befindet und versucht, sudo zu verwenden, wird eine Fehlermeldung wie die folgende angezeigt:

yzT is not in the sudoers file. This incident will be reported.

Ich versuche herauszufinden, in welchem ​​Protokoll diese Informationen protokolliert sind, um zu überprüfen, wer zum Beispiel versucht hat, einen Befehl mit sudo auszuführen, kann ihn aber nicht finden.

Die erste Google-Suche besagt /var/log/syslog, dass ich dort keine Informationen zu sudo sehe.

eez0
quelle
20
Es ist remote protokolliert: xkcd.com/838
depquid
1
Aktuelle Nachrichten ...
Nikolas

Antworten:

41

Auf RedHat-basierten Linux-Systemen wie Centos oder Fedora ist es in:

  /var/log/secure

und für debian-basierte systeme wie ubuntu ist es in:

  /var/log/auth.log
Hojat Taheri
quelle
1
Aber wie kann ich es alleine wissen, ohne es zu googeln?
Turkhan Badalov
1
Einfach! Lesen Sie den Quellcode.
LadyCailin
cat /var/log/auth.log | grep '3 falsche Passwortversuche'
dedunumax
3

Egal, es ist in /var/log/auth.log.

eez0
quelle
Benachrichtigungen sollten standardmäßig auch per E-Mail an root gesendet werden, obwohl dies konfigurierbar ist.
Depquid
3

In Fedora befindet es sich in /var/log/audit/audit.log

Shahram Pezeshki
quelle
1
Es hängt von der Datei / etc / sudoers ab. Sie sollten nach diesem Datensatz suchen: Standard-Protokolldatei = / var / log / Dateiname
Shahram Pezeshki