[sudo-users] sudoreplay -l filter weirdness
Michael W. Lucas
mwlucas at michaelwlucas.com
Wed Sep 4 19:13:57 MDT 2013
Hi,
On 1.8.8-b3 built from source on FreeBSD, testing sudoreplay
fromdate/todate behavior. A couple things don't quite match the web
site docs:
# sudoreplay -l fromdate 4 hours ago
sudoreplay: unknown search term "hours"
# sudoreplay -l fromdate this week
sudoreplay: unknown search term "week"
Here's the 'fromdate yesterday' output, just to show I have some stuff
in there:
# sudoreplay -l fromdate yesterday
Sep 3 21:14:25 2013 : mwlucas : TTY=/dev/pts/0 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000008 ; COMMAND=/usr/bin/su -m
Sep 3 22:00:12 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000009 ; COMMAND=/bin/ls
Sep 3 22:01:02 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000A ; COMMAND=/bin/ls
Sep 3 22:14:19 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000B ; COMMAND=/bin/ls
Sep 3 22:14:25 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000C ; COMMAND=/bin/ls
Sep 4 17:51:06 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000D ; COMMAND=/usr/local/bin/sudoreplay -l
Sep 4 17:52:11 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000E ; COMMAND=/usr/local/bin/emacs /etc/fstab
Sep 4 18:02:56 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000F ; COMMAND=/usr/sbin/tcpdump -ni vtnet0
Sep 4 18:03:47 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000G ; COMMAND=/usr/bin/passwd root
Sep 4 18:05:54 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000H ; COMMAND=/usr/bin/su -m
Sep 4 20:41:29 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/etc ; USER=root ; TSID=00000I ; COMMAND=/usr/bin/touch test.txt
Sep 4 20:43:42 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/var/log ; USER=root ; TSID=00000J ; COMMAND=/usr/bin/touch messages
It appears that "todate" with dates matches only before, not on, the
given date?
# sudoreplay -l todate 9/1/2013 fromdate 9/1/2013
# sudoreplay -l todate 9/2/2013 fromdate 9/1/2013
Sep 1 19:53:42 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000001 ; COMMAND=/usr/bin/passwd
Sep 1 20:04:42 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000002 ; COMMAND=/usr/local/bin/emacs /etc/rc.conf
Sep 1 20:12:26 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000003 ; COMMAND=/usr/local/bin/emacs /etc/test.conf
Sep 1 20:14:53 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000004 ; COMMAND=/bin/tcsh
Sep 1 20:16:37 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000005 ; COMMAND=/bin/sh
Sep 1 20:40:17 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000006 ; COMMAND=/sbin/ifconfig -a
Sep 1 20:40:51 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000007 ; COMMAND=/usr/sbin/tcpdump -nni vtnet0
But, if I use 'yesterday' and 'today,' I can't get just yesterday's
results:
# sudoreplay -l fromdate yesterday todate yesterday
# sudoreplay -l fromdate yesterday todate today
Sep 3 21:14:25 2013 : mwlucas : TTY=/dev/pts/0 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000008 ; COMMAND=/usr/bin/su -m
Sep 3 22:00:12 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=000009 ; COMMAND=/bin/ls
Sep 3 22:01:02 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000A ; COMMAND=/bin/ls
Sep 3 22:14:19 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000B ; COMMAND=/bin/ls
Sep 3 22:14:25 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000C ; COMMAND=/bin/ls
Sep 4 17:51:06 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000D ; COMMAND=/usr/local/bin/sudoreplay -l
Sep 4 17:52:11 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000E ; COMMAND=/usr/local/bin/emacs /etc/fstab
Sep 4 18:02:56 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000F ; COMMAND=/usr/sbin/tcpdump -ni vtnet0
Sep 4 18:03:47 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000G ; COMMAND=/usr/bin/passwd root
Sep 4 18:05:54 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/usr/home/mwlucas ; USER=root ; TSID=00000H ; COMMAND=/usr/bin/su -m
Sep 4 20:41:29 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/etc ; USER=root ; TSID=00000I ; COMMAND=/usr/bin/touch test.txt
Sep 4 20:43:42 2013 : mwlucas : TTY=/dev/pts/1 ; CWD=/var/log ; USER=root ; TSID=00000J ; COMMAND=/usr/bin/touch messages
Is this expected? Is something askew? Am I misunderstanding?
Thanks,
==ml
--
Michael W. Lucas - mwlucas at michaelwlucas.com, Twitter @mwlauthor
http://www.MichaelWLucas.com/, http://blather.MichaelWLucas.com/
Absolute OpenBSD 2/e - http://www.nostarch.com/openbsd2e
coupon code "ILUVMICHAEL" gets you 30% off & helps me.
More information about the sudo-users
mailing list