Bonjour, j'essaie de trouver qui a fait le dernier reboot sur mon serveur.
Je connais les commandes last reboot | head -1 y last -d reboot mais ils ne montrent pas l'IP de quel client il a été fait.
J'ai un serveur Linux CentOS7.
Je sais que c'est un peu difficile à trouver, mais peut-être que quelqu'un peut aider, je n'ai aucune idée.
Salutations
Si le serveur a été redémarré par un utilisateur connecté last | less vous donnera un historique des personnes connectées à la machine, l'heure de la connexion et l'IP du dispositif de connexion. Recherchez l'heure à laquelle le serveur a été redémarré et vérifiez qui était connecté à ce moment-là.
Si plusieurs utilisateurs étaient connectés à ce moment-là et que vous avez un accès root, vous pouvez vérifier .bash_history dans les répertoires de profil (pour CentOS, ils doivent se trouver quelque part dans le répertoire /home Par exemple, si votre serveur fait partie d'un domaine /home/domain/username ).
Si vous recherchez une commande "reboot" en particulier, je voudrais également noter que shutdown -r redémarre aussi le serveur, alors ne vous laissez pas surprendre.
Je suggérerais de suivre les premiers utilisateurs, qui ont délivré reboot ce qui peut être fait en utilisant linux audit système. Voir les réponses aquí pour plus de détails. Ensuite, lorsque vous connaissez le nom d'utilisateur, vous pouvez procéder au suivi de l'IP.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
