Linux監査サーバーの再起動

Centos 6.5でAuditDを実行しています。

サーバの再起動を監査する方法はありますか - サーバが再起動されたのは誰ですか？だから私はログインして実行した場合：

sudo reboot 

/var/log/audit/audit.logに次のようなログエントリが表示されます。

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"

audit.rulesにルールを追加してください。

-w /sbin/shutdown -p x -k power

監査ルールを設定できない場合や設定したくない場合も、ログを調べてみることができます。

sudo grep sudo /var/log/auth.log

実行されたすべてのsudoコマンドはそこにあるので、 'reboot'または 'shutdown'を探すことによってそれを見つけることができます。