Le fichier sulog répertorie chaque utilisation de la commande su, et pas seulement les tentatives su utilisées pour passer d'utilisateur à root.
La journalisation de su dans ce fichier est activée par défaut dans l'entrée suivante du fichier /etc/default/su :
SULOG=/var/adm/sulog
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# more /var/adm/sulog SU 12/20 16:26 + pts/0 stacey-root SU 12/21 10:59 + pts/0 stacey-root SU 01/12 11:11 + pts/0 root-rimmer SU 01/12 14:56 + pts/0 jdoe-root SU 01/12 14:57 + pts/0 jdoe-root
Les entrées affichent les informations suivantes :
La date et l'heure de la saisie de la commande.
Si la tentative a réussi. La présence d'un signe plus (+) indique une tentative réussie. Un signe moins (-) indique un échec.
Le port à partir duquel la commande a été émise.
Le nom de l'utilisateur et le nom de l'identité commutée.
Dépannage
Les entrées incluant ??? indiquent que le terminal de contrôle pour la commande su ne peut pas être identifié. Généralement, les appels système de la commande su avant l'affichage du bureau incluent ???, comme dans SU 10/10 08:08 + ??? root-root. Une fois que l'utilisateur a lancé une session de bureau, la commande ttynam renvoie la valeur du terminal de contrôle à sulog: SU 10/10 10:10 + pts/3 jdoe-root.
Les entrées semblables à ce qui suit peuvent indiquer que la commande su n'a pas été appelée sur la ligne de commande : SU 10/10 10:20 + ??? root-oracle. Un utilisateur Trusted Extensions est peut-être passé au rôle oracle à l'aide d'une interface graphique.