MESSAGE=anthony … USER=root <– 這是否意味著 root 使用者是實際使用者，但“anthony”無論如何都會顯示為使用者？

我在 /run/log/journal/…

MESSAGE=anthony : TTY=pts/10 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/find / -name *systemctI*

我想知道這是什麼意思？我懷疑這個過程“ systemctI”，因為它是一封來自的信systemctl。我正在做一些探勘，並在日誌文件中找到了上述內容。

這是什麼意思？我有一種感覺，這意味著該程序正在使用 root 使用者，但假裝使用“anthony”。它是否正確？

該語法與 生成的日誌消息相匹配sudo，但如果您從systemd的日誌文件中查看它，那麼它可能沒有正常的 syslog 樣式<timestamp> <hostname> <program name>:前綴。

日誌文件是二進制格式，因此最好使用journalctl命令或其他systemd特定查看器查看它們。如果您只是在二進制數據中查找文本，您將錯過時間戳和其他重要的元數據。

假設這實際上是由 生成的sudo，這意味著使用者anthony有一個在偽 TTY 上執行的會話pts/10（= 可能是本地 GUI 會話中的終端視窗，或者例如遠端 SSH 會話），cd’d 到根目錄，並執行命令sudo find / -name *systemctI*。

last anthony | grep pts/10可能會為您提供有關會話是本地終端視窗還是遠端會話以及會話何時發生的更多資訊。last如果輸出的第三個欄位顯示:0，那麼這是一個本地 X11 GUI 會話；否則它應該有遠端會話的源 IP 地址。

引用自：https://unix.stackexchange.com/questions/500678