Wenn sich jemand nicht in der Gruppe sudoers befindet und versucht, sudo zu verwenden, wird eine Fehlermeldung wie die folgende angezeigt:
yzT is not in the sudoers file. This incident will be reported.
Ich versuche herauszufinden, in welchem Protokoll diese Informationen protokolliert sind, um zu überprüfen, wer zum Beispiel versucht hat, einen Befehl mit sudo auszuführen, kann ihn aber nicht finden.
Die erste Google-Suche besagt /var/log/syslog
, dass ich dort keine Informationen zu sudo sehe.
Antworten:
Auf RedHat-basierten Linux-Systemen wie Centos oder Fedora ist es in:
und für debian-basierte systeme wie ubuntu ist es in:
quelle
Egal, es ist in
/var/log/auth.log
.quelle
In Fedora befindet es sich in /var/log/audit/audit.log
quelle