Linux如何查看sudo执行的历史记录-linux运维-PHP中文网

Linux如何查看sudo执行的历史记录

P粉602998670

发布： 2025-09-10 08:27:01

原创

642人浏览过

要追溯sudo执行的命令，需查看系统日志或配置sudo日志；在Ubuntu/Debian中查/var/log/auth.log，CentOS/RHEL中查/var/log/secure，或使用journalctl _COMM=sudo筛选；通过配置/etc/sudoers中的Defaults logfile可指定专用日志文件，提升可读性与管理效率；history命令无法显示完整sudo执行内容，因其仅记录用户输入的命令行，不记录提权后实际执行的命令详情；为实现细粒度审计，可启用auditd服务或在visudo中设置log_input和log_output以记录输入输出，但需注意性能与隐私影响。

linux如何查看sudo执行的历史记录

想在Linux系统里追溯谁用

sudo

登录后复制

执行了什么命令，什么时候执行的，这事儿说起来并不复杂，核心就是去查系统日志，以及一些配置得当的

sudo

登录后复制

设置。它不像我们平时用的

history

登录后复制

命令那样直观，因为

sudo

登录后复制

操作通常会被记录在更底层的系统日志里。

解决方案

要查看

sudo

登录后复制

执行的历史记录，我们主要有以下几个途径：

首先，最直接也最常用的方法是检查系统的认证日志。在基于Debian的系统（如Ubuntu）上，这通常是

/var/log/auth.log

登录后复制

；而在基于Red Hat的系统（如CentOS, Fedora）上，则可能是

/var/log/secure

登录后复制

。这些日志文件会详细记录用户使用

sudo

登录后复制

进行提权操作的尝试和成功执行的命令。你可以用

grep

登录后复制

命令配合

sudo

登录后复制

关键字来筛选出相关条目。

# Ubuntu/Debian系统
grep "sudo" /var/log/auth.log

# CentOS/RHEL系统
grep "sudo" /var/log/secure

登录后复制

如果你的系统使用

systemd

登录后复制

，那么

journalctl

登录后复制

会是另一个强大的工具，它能聚合所有日志，包括

sudo

登录后复制

如何快速筛选出特定用户的sudo操作记录？

当我们面对海量的日志文件时，要从里面找到特定用户执行的

sudo

登录后复制

命令，确实需要一些技巧。我个人习惯用

grep

登录后复制

命令配合正则表达式，或者直接利用

journalctl

登录后复制

的筛选能力。

比如，你想查找用户

your_username

登录后复制

执行的所有

sudo

登录后复制

命令，可以这样做：

# 在auth.log或secure日志中筛选
grep "sudo.*your_username" /var/log/auth.log
# 或者更精确地匹配命令执行者的用户名
grep "COMMAND=(.*) FOR your_username" /var/log/auth.log

登录后复制

这里

COMMAND=(.*) FOR your_username

登录后复制

是一个常见的日志模式，

sudo

登录后复制

成功执行命令后会记录执行的命令和执行者。

如果你已经配置了

sudo

登录后复制

的专用日志文件（比如

/var/log/sudo.log

登录后复制

），那么筛选会更简单：

grep "your_username" /var/log/sudo.log

登录后复制

对于

journalctl

登录后复制

，筛选特定用户同样直观：

journalctl _COMM=sudo _UID=$(id -u your_username)
# 或者直接按用户名筛选，虽然不总是精确匹配执行sudo的用户，但通常能找到相关条目
journalctl | grep "sudo.*your_username"

登录后复制

有时候，我们还需要按时间范围来筛选。

journalctl

登录后复制

在这方面表现优秀：

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

查看详情

journalctl --since "2023-01-01 00:00:00" --until "2023-01-01 23:59:59" _COMM=sudo

登录后复制

这些方法能帮助我们快速定位到感兴趣的

sudo

登录后复制

操作，大大提高了排查效率。

为什么我使用history命令看不到完整的sudo历史？

这是一个非常普遍的疑问，我刚接触Linux那会儿也为此困惑过。简单来说，

history

登录后复制

命令记录的是你当前shell会话中输入的命令，它属于你的用户环境。而

sudo

登录后复制

命令的执行，虽然是你输入的，但它以root或其他指定用户的权限运行，并且其执行结果（包括具体的命令）通常不会直接写入你当前用户的shell历史文件（比如

~/.bash_history

登录后复制

或

~/.zsh_history

登录后复制

）。

当你输入

sudo apt update

登录后复制

时，

sudo

登录后复制

这个命令本身会被记录在你的

history

登录后复制

里，但

apt update

登录后复制

这个动作的“提权”和“执行”过程，以及它背后的真正命令，是作为

root

登录后复制

用户（或目标用户）的操作来处理的。除非你做了特殊的配置，比如将

sudo

登录后复制

的输出重定向到某个文件，或者使用了

sudo -s

登录后复制

切换到root shell，然后在这个root shell里执行命令，那些命令才会被记录到root用户的

history

登录后复制

里（如果root用户有启用历史记录的话）。

所以，

history

登录后复制

命令的局限性在于它只记录了“你输入了

sudo

登录后复制

”这个动作，而没有记录“

sudo

登录后复制

后面实际执行了什么命令”这个更关键的信息。这就是为什么我们需要依赖系统日志来追踪

sudo

登录后复制

的实际执行内容。它俩记录的层次和目的完全不同。

如何配置sudo以更有效地记录命令执行？

要让

sudo

登录后复制

更有效地记录命令执行，你需要修改

/etc/sudoers

登录后复制

文件。这个文件是

sudo

登录后复制

的核心配置文件，但切记要使用
visudo
登录后复制
命令来编辑它，而不是直接用文本编辑器。

visudo

登录后复制

会在你保存前检查语法错误，避免因为配置错误导致

sudo

登录后复制

无法使用，那可就麻烦了。

在

/etc/sudoers

登录后复制

中，你可以添加或修改一些

Defaults

登录后复制

行来控制

sudo

登录后复制

的日志行为。

最常用的配置是指定一个专门的日志文件：

Defaults logfile=/var/log/sudo.log

登录后复制

加上这行后，所有通过

sudo

登录后复制

执行的命令都会被记录到

/var/log/sudo.log

登录后复制

中。这比从

auth.log

登录后复制

或

secure

登录后复制

中筛选要清晰得多，也更方便管理。

如果你想记录用户在执行

sudo

登录后复制

命令时输入的全部内容（包括参数），甚至包括命令的输出，

sudo

登录后复制

也提供了这样的选项，但需要谨慎使用，因为它会占用大量磁盘空间并可能涉及敏感信息：

Defaults log_input
Defaults log_output

登录后复制

```
Defaults log_input
```
登录后复制
：会记录用户在
```
sudo
```
登录后复制
命令后输入的完整命令行（包括所有参数）。
```
Defaults log_output
```
登录后复制
：会记录
```
sudo
```
登录后复制
命令执行后的标准输出和标准错误输出。

这些日志信息通常会存储在一个专门的目录中，例如