有人重新启动我们的Linux服务器,我想找出哪个用户做到了。
这台服务器可能有多个用户使用sudo权限,是否有任何特定的日志文件跟踪上次重新启动的用户?
编辑:我正在使用红帽6.3
你可以使用“ last ”来检查。 它显示了系统何时重新启动以及谁login和注销。
从manpage:
last, lastb - show listing of last logged in users
如果您的用户必须使用sudo来重新启动服务器,那么您应该能够通过查看相关的日志文件来查找是谁做的。 对于CentOS的发行版像/var/log/secure和Ubuntu一样在/var/log/auth log查找。
如果您使用的是不同的操作系统或发行版,则可以通过阅读sudoers手册页来跟踪日志文件,其中包含有关默认情况下使用的日志工具以及如何更改的信息。 有了武装,你可以检查你的系统日志configuration…
每个Linux / Unix系统都有多种/ var / log / secure。
对于Ubuntu,正如我猜你正在使用,尝试/var/log/auth.log。
我会build议:
sudo grep sudo /var/log/auth.log
你会得到类似于以下的结果:
Mar 16 13:40:38 hostname sudo: username : TTY=pts/10 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash