在Linux中,要查看sudo命令的日志,您需要先确保已经启用了sudo的日志记录功能
-
打开终端。
-
使用文本编辑器打开
/etc/sudoers
文件。例如,您可以使用nano
编辑器:
sudo nano /etc/sudoers
- 在文件中找到以下行:
#Defaults env_reset
取消该行的注释(删除行首的#字符),以启用环境变量重置功能:
Defaults env_reset
- 找到以下行:
#Defaults requiretty
同样地,取消该行的注释以允许在非tty会话中使用sudo:
Defaults requiretty
- 保存并关闭文件。
现在,每当用户使用sudo命令时,系统都会将其记录在日志文件中。默认情况下,这些日志文件位于/var/log/auth.log
(对于Debian/Ubuntu系统)或/var/log/secure
(对于RHEL/CentOS系统)。
要查看sudo命令的日志,您可以使用grep
命令搜索特定的用户或命令。例如,要查看名为john
的用户执行的sudo命令,请运行:
grep 'john' /var/log/auth.log
或者,要查看最近执行的sudo命令,请运行:
last sudo
请注意,您可能需要具有root权限才能访问这些日志文件。如果您不是root用户,请在命令前加上sudo
,例如:
sudo grep 'john' /var/log/auth.log