Ubuntu 查詢使用者執行 sudo 的記錄

阿舍之前有遇到一個狀況，就是有一部機器上面有多位使用者有 sudo 的權限，但是，又沒有主要的負責人來管理這部機器，所以，常常就會有人不小心用 sudo 執行了不該執行的指令，然後，機器就出問題了，因此，就得要去查看看，是誰執行了什麼指令，做了什麼動作來造成這個問題，這樣，才會比較方便解決問題哩 ! ...

阿舍一開始，是找到可以安裝這個 acct 套件來記錄使用者的活動，但是，阿舍測了一下後才發現，這個 acct 套件對於 sudo 指令的執行記錄只有簡單的就只顯示 sudo，然後，使用者還是歸給 root，所以，對阿舍想要達到的需求是一點幫助也沒有哩 !

檢視 sudo 執行記錄

因此，阿舍又去搜尋一下，就有看到說，去改 /etc/sudoers 這個檔，加入 LOG_INPUT 和 LOG_OUTPUT 的選項就可以產生 sudo 的日誌檔，於是阿舍就去改了，結果 ... 就是阿舍這一篇寫的這個問題，所以，也是沒用哩 ! ...

後來，阿舍在查別的東西的時候才發現，原來，阿舍要的這個功能在 Ubuntu 上已經內建就有了 (阿舍還沒查到是從那一個版本開始的 ...)，所以，只要去打開 /var/log/auth.log 這個檔案，就可以查到那個使用者在什麼時間用 ssh 登入以及用 sudo 在什麼時間執行了什麼指令哩！

下面就是阿舍用 arthurtoday 這個使用者去修改 /etc/network/interfaces 檔案後，在 /var/log/auth.log 檔案所留下的記錄內容，依序是執行的日期、時間、機器名稱、執行 sudo 的使用者帳號、終端機代號、所在位置、使用的使用者帳號及指令的完整執行內容，一切都清清楚楚的哩 !

Feb 14 18:01:57 ubnsrv1404 sudo: arthurtoday : TTY=pts/0 ; PWD=/home/arthurtoday ; USER=root ; COMMAND=/usr/bin/vi /etc/network/interfaces


問題還是沒解決嗎 ?? 這裡有更多的 Ubuntu 相關教學可以參考哩 ...
買本阿舍寫的電子書帶走 - Ubuntu 指令新手馬上會用到的 35 個技法

好文不藏私，請多分享囉!! ^^=