На рабочей станции RedHat кто-то только что запустил команду shutdown, и мне нужно найти файл журнала, в котором конкретно указано, какой пользователь запустил команду «shutdown» (и было бы неплохо узнать, когда именно).
решение1
Только пользователь root может запустить команду shutdown, следовательно, этот пользователь был root.
Надеюсь, вы принуждаете использовать sudoдля запуска команд root. В этом случае загляните в , /var/log/secureчтобы узнать, кто это сделал sudo shutdown.
решение2
В зависимости от того, как была выполнена команда, это может оказаться немного сложным.
- Проверьте свои логи sudo, они ведь используют sudo, верно?!?
- Если запустить напрямую как root, посмотрите, кто еще вошел в систему в то же время. Использование файла wtmp через
lastкоманду может быть полезным. - Если они удаленно вошли в систему как root, проверьте, снова используя
lastадрес, с которого они вошли, и кто в это время пользовался этой системой. Также исправьте это, чтобы они не могли войти удаленно как root. - Если вы вошли в систему через консоль, проверьте журналы доступа, чтобы узнать, кто имел физический доступ к системе в тот момент.
решение3
last|head
Будем надеяться, что не слишком много администраторов одновременно войдут в систему как root.