Кто-то перезапустил наш Linux-сервер, и я хочу узнать, кто это сделал.
На этом сервере может быть несколько пользователей с привилегиями sudo, есть ли какой-либо конкретный файл журнала, который отслеживает пользователя, который перезагружался в последний раз?
Изменить: я использую Red Hat 6.3
Ты можешь использовать "last", чтобы проверить. Он показывает, когда была перезагружена система, и кто вошел в систему, а кто вышел из нее.
На странице руководства:
last, lastb - show listing of last logged in users
Если ваши пользователи должны использовать sudo для перезагрузки сервера, тогда вы сможете узнать, кто это сделал, просмотрев соответствующий файл журнала. Для CentOS-подобных дистрибутивов ищите /var/log/secure а для Ubuntu вроде загляните в /var/log/auth log.
Если вы используете другую ОС или другой дистрибутив, вы можете отследить файл журнала, прочитав страницу руководства sudoers, содержащую информацию о средствах ведения журнала, которые используются по умолчанию, и о том, как их изменить. Вооружившись этим, вы можете проверить конфигурацию системного журнала ...
В каждой системе Linux / unix есть несколько файлов / var / log / secure.
Для Ubuntu, как я предполагаю, вы используете, попробуйте /var/log/auth.log.
Я бы посоветовал:
sudo grep sudo /var/log/auth.log
Вы получите результаты, похожие на:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash