一,sudo日志的用途:
我们可以记录下来用户账号在哪个时间进行过sudo
这样不需要再从secure日志中查找用户的sudo记录
说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest
对应的源码可以访问这里获取: https://github.com/liuhongdi/
说明:作者:刘宏缔 邮箱: 371125307@qq.com
二,生成sudo日志文件
[root@blog ~]# touch /var/log/sudo.log
三,编辑sudoers文件
[root@blog sudoers.d]# visudo
增加三行配置:
Defaults logfile=/var/log/sudo.log Defaults loglinelen=0 Defaults !syslog
四,编辑rsyslog的配置文件
[root@blog sudoers.d]# vi /etc/rsyslog.conf
增加一行配置:
local2.debug /var/log/sudo.log
五,重启rsyslog服务
[root@blog sudoers.d]# systemctl restart rsyslog.service
六,做一次sudo,然后查看日志中是否有记录产生?
[root@blog ~]# more /var/log/sudo.log Apr 19 14:44:34 : webop : TTY=pts/2 ; PWD=/home/webop ; USER=root ; COMMAND=/bin/bash
七,Rsyslog的日志级别:(从上到下级别越来越高)
7 debug 调试信息的日志,日志信息最多
6 info 一般信息的日志,最常用
5 notice 最具有重要性的普通条件的信息
4 warning 警告级别
3 error 错误级别,阻止某个功能或者模块不能正常工作的信息
2 crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
1 alert 需要立刻修改的信息
0 emerg 内核崩溃等严重信息
none 不记录任何信息
八,Rsyslog的日志类型
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 计划任务相关
kerl 内核
lpr 打印
mail 邮件
mark(syslog) Rsyslog服务内部信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy;Unix主机之间相关的通信
local 1-7 自定义的日志设备
九,查看sudo的版本
[root@blog log]# sudo -V Sudo version 1.8.25p1
十,查看centos的版本
[root@blog log]# cat /etc/redhat-release CentOS Linux release 8.0.1905 (Core)