这个问题与我之前的问题有关:
Log all commands run by admins on production servers
原文链接:https://www.f2er.com/centos/373632.html管理员通过个人用户名登录服务器的公司政策,然后运行sudo -i成为root用户.运行sudo -i后,sudo将创建一个名为SUDO_USER的环境变量,其中包含原始用户的用户名.
是否可以让auditd在每个命令的日志中包含此变量?或功能等同物.
这是auditd的当前规则集:
# First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 320 # Log any command run on this system #-a exit,always -F arch=b64 -S execve -a exit,always -F arch=b32 -S execve
