Visitas: 25
El archivo log predeterminado donde se encuentran el comando sudo se registra en el archivo /var/log/auth.log. Tenerlo separado es mucho más fácil auditar y tener más organizado tu sistema.
Obs:
- Utilizo Debian Buster de 64 bits.
Entramos a la terminal y tecleamos lo siguiente:
sudo visudo
Al final de la línea agregamos lo siguiente:
Defaults syslog=local1
Guardamos el cambio (control + o) y luego cerramos el editor (control + x). Volvemos a teclear en la terminal:
sudo nano /etc/rsyslog.conf
En la línea 61 cambios lo que se encuentra en negrita.
[...] local1.* /var/log/sudo.log auth,authpriv.*;local1.none /var/log/auth.log [...]
Guardamos el cambio (control + o) y luego cerramos el editor (control + x). Volvemos a teclear en la terminal:
sudo systemctl restart rsyslog
Volvemos a teclear en la terminal para verificar si se creo el archivo /var/log/sudo.log
sudo apt update ls -lh /var/log/sudo.log
Sale por pantalla:
-rw-r----- 1 root adm 118 may 6 02:15 /var/log/sudo.log
Volvemos a teclear en la terminal:
sudo cat /var/log/sudo.log
Sale por pantalla:
May 6 02:15:41 pantanoNegro sudo: proyectosbeta : TTY=pts/1 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/apt update May 6 02:17:16 pantanoNegro sudo: proyectosbeta : TTY=pts/1 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/cat /var/log/sudo.log
Fuente: OSTechNix