如何监视正在使用 su 命令的用户 - 在 Oracle® Solaris 11.2 中确保系统和连接设备的安全

语言：

如何监视正在使用 `su` 命令的用户

sulog 文件列出了切换用户 (su) 命令的每次使用情况，而不仅仅包括用于从用户切换到 root 的 su 尝试。

缺省情况下，通过 /etc/default/su 文件中的以下项启用此文件中的 su 日志记录：

SULOG=/var/adm/sulog

开始之前

您必须承担 root 角色。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

定期监视 /var/adm/sulog 文件的内容。
```
# more /var/adm/sulog
SU 12/20 16:26 + pts/0 stacey-root
SU 12/21 10:59 + pts/0 stacey-root
SU 01/12 11:11 + pts/0 root-rimmer
SU 01/12 14:56 + pts/0 jdoe-root
SU 01/12 14:57 + pts/0 jdoe-root
```
- 输入命令的日期和时间。
- 尝试是否成功。加号 (+) 表明尝试成功。减号 (-) 表明尝试失败。
- 发出命令的端口。
- 用户名称和切换身份的名称。

故障排除

包含 ??? 的项表示无法识别 su 命令的控制终端。通常，在显示桌面之前对 su 命令的系统调用包括 ???，如 SU 10/10 08:08 + ??? root-root 中所示。在用户启动桌面会话后，ttynam 命令会将控制终端的值返回至 sulog: SU 10/10 10:10 + pts/3 jdoe-root。

类似如下的项表示未在命令行中调用 su 命令：SU 10/10 10:20 + ??? root-oracle。Trusted Extensions 用户可能已使用 GUI 切换到 oracle 角色。