如何识别将信息写入日志文件的程序?
我最近收到一条消息,说我的Ubuntu笔记本电脑上没有sudo。 当时,我不相信我正在运行任何需要sudo的东西。 /var/log/auth.log中出现的消息是:
Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv] Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv] Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): conversation failed Jul 16 11:50:56 laptop sudo: pam_unix(sudo:auth): auth could not identify password for [mv] Jul 16 11:50:56 laptop sudo: mv : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/mv ; USER=root ; COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:
这个问题与日志的相似性让我觉得这是由update-manager生成的。
有没有办法确认是否是更新管理器或导致此错误的其他程序记录到/var/log/auth.log? 或者,有没有人见过这种特殊的日志序列?
谢谢你的帮助。
编辑 :
- / tmp / tmpBHXhYV /目录不再存在
- 从我所看到的,当update-manager运行时,它会创建这些/ tmp / tmpXXXXXX /目录(其中X是随机的)。 为了澄清我的问题,我想知道是否/如何直接引用生成此格式行的更新管理器代码中的内容。 我已经查看了我的更新管理器版本的源代码 ,但是无法解决这个问题。
再次感谢!
好吧,你的粘贴数据有一些有用的信息: COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:
所以env被调用来执行〜/ tmp / tmpBHXhYV /:script:`with sh。 如果该文件仍然存在,它可能会对您有所帮助。 它不是从TTY调用的,所以可能来自另一个正在运行的应用程序。