お聞きしたいこと
su
コマンドを実行して他のユーザーにスイッチすると、/var/log/secure
にログが出力されるかと思います。
通常であれば下記のようなフォーマットで出力されるかと思うのですが、スイッチ元のユーザー(誰が?の部分)が特定できない事象が発生しています。
どなたか特定方法など教えていただけますでしょうか。
フォーマット
- 通常
Oct 24 04:51:47 ip-10-0-10-234 su: pam_unix(su-l:session): session opened for user root by ec2-user(uid=0)
この場合だと、ec2-userがrootになったことがわかる(uid=0なのはおそらくsudo su -を実行したから)
- 特定できない方法
Oct 24 04:58:06 ip-10-0-10-234 su: pam_unix(su-l:session): session opened for user root by (uid=0)
uid=0のユーザー(root?)からrootにsuを実行したように見受けられるが、肝心のユーザー名が表示されない、、実際にec2-userからrootになり、そのrootからrootにsuを実行してみると下記のようになるのでなぜこのようなログになるのかわからない…
Oct 24 04:58:21 ip-10-0-10-234 su: pam_unix(su-l:session): session opened for user root by ec2-user(uid=500)

回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/10/26 08:09
2017/10/26 10:32