ルートアクセスを持つ誰がプールからジョブ/プロセスを強制終了したかを識別する方法

ルートアクセスを持つ誰がプールからジョブ/プロセスを強制終了したかを識別する方法

ノードへのルート アクセス権を持つ人が 3 人か 4 人いるかどうか知りたいです。そのうちの 1 人がジョブの実行を開始しましたが、誰かが実行中のジョブを強制終了しました。全員がルート アクセス権を持っているため、ジョブ/プロセスを強制終了した人を特定する最適な方法は何でしょうか。

答え1

適切な監査が有効になっていなければ不可能です。監査がなければ、タイムスタンプに基づいてジョブが強制終了された正確な時刻 (そのような情報がある場合) とログインしたユーザーを推測することしかできません。通常のユーザーとしてログインし、 または などを使用してsurootsudoになっていると思います。

監査について - 基本的なのは、誰が root に切り替えたかに基づいて異なる履歴ファイルを設定する、root 用のログイン スクリプトを用意することです。より高度な監査 (カーネル自体がどのユーザーが何をしたかを記録する) については、「linux 監査」を Google で検索してください。

関連情報