来源:http://www.weiruoyu.cn/?p=336
1.创建sudo.log文件
touch /var/log/sudo.log
2.#/etc/syslog.conf 配置文件最后面添加一行
local2.debug /var/log/sudo.log #空白处不能用空格键,必需用tab键
3.用visudo命令来修改/etc/sudoers配置文件最后添加如下(不要手动修改配置文件 ,用visudo命令修改,好处是修改出错,保存会弹出错误提示信息,方便排错。)
Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog
4.重启syslog服务
[root@localhost .ssh]# service syslog restart
关闭内核日志记录器:[确定]
关闭系统日志记录器:[确定]
启动系统日志记录器:[确定]
启动内核日志记录器:[确定]
或者
/etc/init.d/syslog restart
5.确定进程
[root@localhost .ssh]# ps -aux |grep syslog
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
root 17971 0.0 0.1 1816 584 ? Ss 08:49 0:00 syslogd -m 0
root 17977 0.0 0.1 5124 672 pts/2 R+ 08:49 0:00 grep syslog
6.测试
测试账户使用sudo命令,
在root用户查看是否有记录
[root@localhost .ssh]# tail -f /var/log/sudo.log
9月 21 08:51:40 : root : TTY=pts/4 ; PWD=/root ; USER=root ; COMMAND=list
9月 21 08:52:16 : wry : TTY=pts/4 ; PWD=/home/wry ; USER=root ; COMMAND=list
9月 21 08:52:40 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp -r a /var/tmp /usr/local/
9月 21 08:52:50 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp -r a /var/tmp/a/ /usr/local/
9月 21 08:56:05 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp 1.txt /usr/local/
9月 21 09:04:58 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/mv /usr/local/1.txt
参考:
http://hi.baidu.com/bailang3106/item/89ec2658363bfc09e7c4a54c
转载于:https://blog.51cto.com/weiruoyu/1002122