sudo
sudo命令用来以其他身份来执行命令，预设的身份为root。在/etc/sudoers中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，之后有5分钟的有效期限，超过期限则必须重新输入密码。

编辑/etc/rsyslog.conf文件

vim/etc/rsyslog.conf
#添加一行
local2.debug/var/log/sudo.log

编辑 visudo

#添加3行
Defaultslogfile=/var/log/sudo.log
Defaultsloglinelen=0
Defaults!syslog

创建日志文件

touch/var/log/sudo.log

重启服务

systemctlrestartrsyslog

测试:
普通用户操作

[jinchuang@localhost~]sudocd/root/
[sudo]passwordforjinchuang:
jinchuangisnotinthesudoersfile.Thisincidentwillbereported.

查看记录

[jinchuang@localhost~]cat/var/log/sudo.log
Aug2310:48:16:jinchuang:userNOTinsudoers;TTY=pts/1;PWD=/home/jinchuang;USER=root;COMMAND=/bin/cd/root/