所有使用者執行的 sudo 命令的詳細資訊

我可以從哪個日誌獲取有關任何使用者執行的 sudo 命令的詳細資訊。它應該包含工作目錄、命令、使用者。如果你能提供一個 shell 腳本來這樣做會很有幫助

取決於您的發行版；簡單地：

$ sudo grep sudo /var/log/secure

或者

$ sudo grep sudo /var/log/auth.log

這使：

Nov 14 09:07:31 vm1 sudo: pam_unix(sudo:auth): authentication failure; logname=gareth uid=1000 euid=0 tty=/dev/pts/19 ruser=gareth rhost=  user=gareth
Nov 14 09:07:37 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/yum update
Nov 14 09:07:53 vm1 sudo: gareth : TTY=pts/19 ; PWD=/home/gareth ; USER=root ; COMMAND=/bin/grep sudo /var/log/secure

在這種情況下，執行命令的使用者位於sudo:-之後。gareth

PWD是目錄。

USER是在本例中gareth以 - 身份執行的使用者。root

COMMAND是執行的命令。

因此，在上面的例子中，gareth用來sudo執行yum update然後執行這個例子。在此之前，他輸入了錯誤的密碼。

另請注意，可能存在滾動日誌文件，例如/var/log/secure*

在較新的系統上：

$ sudo journalctl _COMM=sudo

給出非常相似的輸出。

引用自：https://unix.stackexchange.com/questions/167935