Linux(私の場合はSuSe)でコマンドを使用してsu
ユーザー履歴をどのように取得できますか?root
答え1
@Eduardo Trapaniのコメントは正しいです。検索中の/var/log/auth.log
単語全体の発生数su(1)
:
# grep -w su /var/log/auth.log
Jun 9 23:33:47 <auth.notice> jimsdesk su[30048]: jim to root on /dev/pts/0
上記の例は、ユーザーが6月9日23:33:47に入力したことを示していますjim
。root
どの実際のコマンドが実行されたかを知りたい場合は、@waltinatorの使用法提案を実装するか、このファイルまたは同様の履歴ファイルを上書きまたはバイパスしないでくださいsudo(8)
。/root/.history
とにかく、root
どこを使用しないと、記録ファイルは誰が何をしたのかを理解するのに役立ちません(問題がある場合)。sudo
答え2
@ジムL。正しい道を行っています。:)
しかし、最新のLinuxでは、通常/var/log/auth.logを積極的に保存しません。代わりに同じアイデアですが、次のようになりますjournalctl
。
journalctl --since=2021-05-09
ジャーナルctl(-q)を静かにし、suの成功した認証のみを印刷するようにしてください。
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root'
私達がこれらの数量にだけ興味があるなら:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root' | wc -l