Où sont enregistrés les incidents sudo?

29

Lorsque quelqu'un n'est pas dans le groupe sudoers et essaie d'utiliser sudo, obtenez un message d'erreur comme celui-ci:

yzT is not in the sudoers file. This incident will be reported.

J'essaie de comprendre dans quel journal ces informations sont enregistrées, pour vérifier qui a essayé d'exécuter une commande avec sudo par exemple, mais ne le trouve pas.

La première recherche Google dit /var/log/syslogmais je n'y vois aucune information liée à sudo.

logs sudo eez0
la source
20
Il est connecté à distance: xkcd.com/838
depquid
1
Dernières nouvelles ...
nikolas

Réponses:

41

Sur les systèmes Linux basés sur redhat comme centos ou fedora, il se trouve dans:

  /var/log/secure

et pour les systèmes basés sur Debian comme Ubuntu, c'est dans:

  /var/log/auth.log
Hojat Taheri
la source
1
Mais comment puis-je le savoir par moi-même sans le googler?
Turkhan Badalov
1
Facile! Lisez le code source.
LadyCailin
cat /var/log/auth.log | grep '3 tentatives de mot de passe incorrectes'
dedunumax
3

Tant pis, c'est dedans /var/log/auth.log.

eez0
la source
Les notifications doivent également être envoyées par e-mail à root par défaut, bien que cela soit configurable.
depquid
3

dans Fedora c'est dans /var/log/audit/audit.log

Shahram Pezeshki
la source
1
cela dépend du fichier / etc / sudoers, vous devez rechercher cet enregistrement: Fichier journal par défaut = / var / log / nom_fichier
Shahram Pezeshki