A quem os incidentes são realmente reportados e como um usuário sudo pode acessar os relatórios?

Quando minha conta não sudo tenta executar um comando sudo:

nonsudo@Hairy14:$ sudo hello

Um incidente é relatado:

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Acho que não é realmente o Pai Natal, então para quem é relatado (ou para onde) e como posso acessá-lo?

(De xkcd , de Randall Munroe)

O título da imagem pode nos dar uma pista:

Ele vê você quando você está dormindo, ele sabe que quando você está acordado, ele é copiado /var/spool/mail/root, então seja bom pelo amor de Deus.

O que /var/spool/mail/rootcontém? Uhh, para mim nada como um usuário normal:

cat: /var/spool/mail/root: No such file or directory

E o mesmo com sudo. Para mim, não há/var/spool/mail/root

Acontece que o Ubuntu é diferente - por padrão, o e-mail do root acessa /dev/nullou o buraco negro no seu computador.

Para encontrar nossos registros, precisamos procurar

/var/log/auth.log

E eis que a sudo catnos dá esta linha:

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Observe que algumas vezes (por exemplo, se sua conta não possui senha, está desativada), simplesmente não permite executar o comando - mas ainda será relatado da mesma maneira:

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Observe que há muitos outros textos junto com os relatórios "impertinentes". Você pode precisar grep.

Meus pronomes são He / Him