¿A quiénes se informan realmente los incidentes y cómo puede un usuario de sudo acceder a los informes?

Cuando mi cuenta no sudo intenta ejecutar un comando sudo:

nonsudo@Hairy14:$ sudo hello

Se informa un incidente:

[sudo] password for nonsudo: 
nonsudo is not in the sudoers file.  This incident will be reported.

Supongo que en realidad no es Papá Noel, entonces, ¿a quién se informa (o dónde) y cómo puedo acceder?

(De xkcd , por Randall Munroe)

El título de la imagen podría darnos una pista:

Te ve cuando duermes, sabe cuándo estás despierto, lo copian /var/spool/mail/root, así que sé bueno por amor de Dios.

¿Qué /var/spool/mail/rootcontiene? Uhh, para mí nada como un usuario normal:

cat: /var/spool/mail/root: No such file or directory

Y lo mismo con sudo. Para mi no hay/var/spool/mail/root

Resulta que Ubuntu es diferente: por defecto, el correo de la raíz va a /dev/null, o el agujero negro en su computadora.

Para encontrar nuestros registros, debemos buscar en

/var/log/auth.log

Y he aquí, a sudo catnos da esta línea:

Jun 25 22:45:07 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Tenga en cuenta que a veces (por ejemplo, si su cuenta no tiene contraseña, está deshabilitada) simplemente no le permitirá ejecutar el comando, pero aún se informará de la misma manera:

Jun 25 22:44:17 Hairy14 sudo:  nonsudo : user NOT in sudoers ; TTY=pts/21 ; PWD=/home/tim ; USER=root ; COMMAND=/usr/bin/hello

Tenga en cuenta que hay muchos otros textos junto con los informes "traviesos". Es posible que necesite grep.

Mis pronombres son El / El