9 sudo の記録を残す

セキュリティ関係のもろもろを見直している。 sudo の記録 (誰が、いつ、どのコマンドを実行したか) を残すように言われた。 もっともなことだが、どうするのだろう？

/var/log/system.log には簡単な記録しか残っていない。 これでは役に立たない。

Unified Logging (Apple System Log) に詳しい記録が残るはず、 とのことなのだが。

log show --predicate 'process == "sudo"' --info --last 7d

かんばしい結果が得られなかった。

色々やって、/private/etc/sudoers を直す必要があると分かった。 これを編集するには

sudo visudo

とする。

Defaults !log_allowed とあったせいで、 うまく行った sudo の結果は記録されなくなっていた。

#Defaults       !log_allowed

とコメント・アウトしておく。 これで Unified Logging の結果が私の希望するようになった。

それから /private/etc/sudoers に

Defaults  logfile=/var/log/sudo.log

という1行を足しておくと、 sudo の記録が /var/log/sudo.log に分かりやすく残って良い。

May  6 10:03:08 : mk : TTY=ttys006 ; PWD=/opt/local/etc/logrotate.d ; USER=root
    ; TSID=00000H ; COMMAND=/bin/ls /var/log

のような形式である (いつ、どのユーザーが、どの端末で、 カレントディレクトリィはどこで、コマンドは何で、知りたいことは全部ある)。

ふう。