一般企业生产环境都会用跳板机把操作日志记录下来，不过有些公司内部的测试机可以用本机的sudo日志审计功能将执行的sudo命令保存日志。

　　为什么要使用sudo审计，因为可以通过sudo授权给普通用户执行管理员权限的命令，管理员权限的命令可能会破坏系统，普通用户甚至可以通过root授权的sudo权限提权，我们要监控这些用户使用sudo的操作记录。

　　（普通用户环境下，使用sudo -l查看自己的sudo权限。）

　　1、安装环境

　　确保服务器安装的有rsyslog服务，并且配置的有开机自启动。

　　相关命令：yum install -y rsyslog

　　　　　　   rpm -qa | grep rsyslog

　　　　　　  systemctl enable rsyslog.service

　　2、配置/etc/sudoers

　　使用visudo命令配置/etc/sudoers文件，尾部追加一行：

　　Defaults logfile=/var/log/sudo.log

　　（必须使用visudo命令编辑，这个命令会检测你的语法，会提示你配置信息是否有错误，甚至你的命令别名、用户别名没有使用都会发出提醒）

　　3、编辑日志配置文件/etc/rsyslog.conf  （可以不配置）

　　在/etc/rsyslog.conf中添加一行

　　local2.debug    /var/log/sudo.log

（为什么是local2.debug???看老男孩视频，他上面就是这么写的，你可以改成别的，也可以不配置）

　　4、重启日志服务

　　systemctl restart rsyslog.service

　　5、测试

　　切换到其他用户，使用sudo命令，测试命令内容是否记录在/var/log/sudo.log中。

　　

　　可以看出，不管是普通用户还是root用户，只要执行sudo命令，都会记录在/var/log/sudo.log日志文件中。