sudo日志文件跟踪

来源：http://www.weiruoyu.cn/?p=336

1.创建sudo.log文件

1. touch /var/log/sudo.log

2.#/etc/syslog.conf 配置文件最后面添加一行

1. local2.debug /var/log/sudo.log #空白处不能用空格键,必需用tab键

3.用visudo命令来修改/etc/sudoers配置文件最后添加如下（不要手动修改配置文件 ，用visudo命令修改，好处是修改出错，保存会弹出错误提示信息，方便排错。）

1. Defaults logfile=/var/log/sudo.log

2. Defaults loglinelen=0

3. Defaults !syslog

4.重启syslog服务

1. [root@localhost .ssh]# service syslog restart

2. 关闭内核日志记录器：[确定]

3. 关闭系统日志记录器：[确定]

4. 启动系统日志记录器：[确定]

5. 启动内核日志记录器：[确定]

或者

1. /etc/init.d/syslog restart

5.确定进程

1. [root@localhost .ssh]# ps -aux |grep syslog

2. Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ

3. root 17971 0.0 0.1 1816 584 ? Ss 08:49 0:00 syslogd -m 0

4. root 17977 0.0 0.1 5124 672 pts/2 R+ 08:49 0:00 grep syslog

6.测试

测试账户使用sudo命令，

在root用户查看是否有记录

1. [root@localhost .ssh]# tail -f /var/log/sudo.log

2. 9月 21 08:51:40 : root : TTY=pts/4 ; PWD=/root ; USER=root ; COMMAND=list

3. 9月 21 08:52:16 : wry : TTY=pts/4 ; PWD=/home/wry ; USER=root ; COMMAND=list

4. 9月 21 08:52:40 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp -r a /var/tmp /usr/local/

5. 9月 21 08:52:50 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp -r a /var/tmp/a/ /usr/local/

6. 9月 21 08:56:05 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/cp 1.txt /usr/local/

7. 9月 21 09:04:58 : wry : TTY=pts/4 ; PWD=/var/tmp ; USER=root ; COMMAND=/bin/mv /usr/local/1.txt

参考：

http://hi.baidu.com/bailang3106/item/89ec2658363bfc09e7c4a54c

http://firerat.blog.51cto.com/2371183/455524

转载于:https://blog.51cto.com/weiruoyu/1002122