centos8平台给sudo配置日志

一，sudo日志的用途:

我们可以记录下来用户账号在哪个时间进行过sudo

这样不需要再从secure日志中查找用户的sudo记录

 

说明：刘宏缔的架构森林是一个专注架构的博客，

网站：https://blog.imgtouch.com
本文: https://blog.imgtouch.com/index.php/2023/05/21/centos8linux-gei-sudo-pei-zhi-ri-zhi/

         对应的源码可以访问这里获取： https://github.com/liuhongdi/

 说明：作者:刘宏缔 邮箱: 371125307@qq.com

 

二，生成sudo日志文件

[root@blog ~]# touch /var/log/sudo.log

 

三，编辑sudoers文件

[root@blog sudoers.d]# visudo

 

增加三行配置:

Defaults logfile=/var/log/sudo.log
Defaults loglinelen=0
Defaults !syslog

 

四，编辑rsyslog的配置文件

[root@blog sudoers.d]# vi /etc/rsyslog.conf

 

增加一行配置:

local2.debug /var/log/sudo.log

 

五，重启rsyslog服务

[root@blog sudoers.d]# systemctl restart rsyslog.service

 

六，做一次sudo,然后查看日志中是否有记录产生？

[root@blog ~]# more /var/log/sudo.log
Apr 19 14:44:34 : webop : TTY=pts/2 ; PWD=/home/webop ; USER=root ; COMMAND=/bin/bash

 

七，Rsyslog的日志级别：（从上到下级别越来越高）

7 debug 调试信息的日志，日志信息最多

6 info 一般信息的日志，最常用

5 notice 最具有重要性的普通条件的信息

4 warning 警告级别

3 error 错误级别，阻止某个功能或者模块不能正常工作的信息

2 crit 严重级别，阻止整个系统或者整个软件不能正常工作的信息

1 alert 需要立刻修改的信息

0 emerg 内核崩溃等严重信息

none 不记录任何信息

 

八，Rsyslog的日志类型

auth pam产生的日志

authpriv ssh,ftp等登录信息的验证信息

cron 计划任务相关

kerl 内核

lpr 打印

mail 邮件

mark（syslog） Rsyslog服务内部信息，时间标识

news 新闻组

user 用户程序产生的相关信息

uucp unix to unix copy；Unix主机之间相关的通信

local 1-7 自定义的日志设备

 

九，查看sudo的版本

[root@blog log]# sudo -V
Sudo version 1.8.25p1 

 

十，查看centos的版本

[root@blog log]# cat /etc/redhat-release
CentOS Linux release 8.0.1905 (Core)