Я использую AuditD на Centos 6.5.

Есть ли способ аудита перезагрузок сервера - кто и когда перезагружает сервер? Так что, если я войду и запишу:

sudo reboot 

Я должен увидеть запись в журнале /var/log/audit/audit.log примерно так:

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"

2 ответа2

1

Добавьте правило для этого в audit.rules

-w /sbin/shutdown -p x -k power
0

Вы также можете попробовать просмотреть журналы, если не можете или не хотите настраивать правила аудита:

sudo grep sudo /var/log/auth.log

Будут присутствовать все выполненные команды sudo, так что вы можете найти их, выполнив команду «перезагрузка» или «завершение работы».

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .