在 Redhat 生產環境中,有人剛剛運行了 shutdown,我需要找到專門顯示哪個用戶運行了「shutdown」命令(以及何時運行)的日誌檔案。
答案1
只有 root 可以運行 shutdown,因此該使用者就是 root。
希望您強制使用 來sudo執行 root 指令。在這種情況下,請查看一下/var/log/secure是誰幹的sudo shutdown。
答案2
根據命令的執行方式,這可能有點棘手。
- 檢查你的 sudo 日誌,他們正在使用 sudo 對嗎?
- 如果直接以 root 身分執行,請查看同時登入的其他人。透過命令使用 wtmp 檔案
last可能會有所幫助。 - 如果他們以 root 身份遠端登錄,請再次使用
last他們登入的地址以及當時誰在使用該系統進行檢查。另外,請修復此問題,以便他們無法以 root 身分遠端登入。 - 如果透過控制台登錄,請檢查訪問日誌以了解當時誰對系統進行了實體存取。
答案3
last|head
希望不要有太多管理員同時以 root 身分登入。