過去 30 日間に「su」経由でルートになったユーザーのリスト

過去 30 日間に「su」経由でルートになったユーザーのリスト

Linux(私の場合はSuSe)でコマンドを使用してsuユーザー履歴をどのように取得できますか?root

答え1

@Eduardo Trapaniのコメントは正しいです。検索中の/var/log/auth.log単語全体の発生数su(1)

# grep -w su /var/log/auth.log
Jun  9 23:33:47 <auth.notice> jimsdesk su[30048]: jim to root on /dev/pts/0

上記の例は、ユーザーが6月9日23:33:47に入力したことを示していますjimroot

どの実際のコマンドが実行されたかを知りたい場合は、@waltinatorの使用法提案を実装するか、このファイルまたは同様の履歴ファイルを上書きまたはバイパスしないでくださいsudo(8)/root/.historyとにかく、rootどこを使用しないと、記録ファイルは誰が何をしたのかを理解するのに役立ちません(問題がある場合)。sudo

答え2

@ジムL。正しい道を行っています。:)

しかし、最新のLinuxでは、通常/var/log/auth.logを積極的に保存しません。代わりに同じアイデアですが、次のようになりますjournalctl

journalctl --since=2021-05-09

ジャーナルctl(-q)を静かにし、suの成功した認証のみを印刷するようにしてください。

journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root'

私達がこれらの数量にだけ興味があるなら:

journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root' | wc -l

関連情報