ฉันต้องการค้นหาทุกสิ่งที่เป็นไปได้เกี่ยวกับวิธีการใช้พีซีในไม่กี่วันที่ผ่านมา เช่นเดียวกับผู้ที่เข้าสู่ระบบว่าพีซีถูกล็อคนานแค่ไหนและข้อมูลอื่น ๆ เกี่ยวกับกิจกรรมของผู้ใช้ที่เข้าสู่ระบบพีซี
ฉันรู้ว่าสามารถใช้คำสั่งสุดท้ายเพื่อค้นหาผู้ที่เข้าสู่ระบบและนานแค่ไหน ข้อมูลอื่นใดที่สามารถค้นพบได้
คำตอบ:
lastคำสั่งจะแสดงการเข้าสู่ระบบของผู้ใช้ออกจากระบบการรีบูตระบบและการเปลี่ยนแปลงการทำงานระดับ
lastlogคำสั่ง "รายงานการเข้าสู่ระบบครั้งล่าสุดของผู้ใช้ทุกคน"
ไฟล์/etc/syslog.confจะแสดงวิธีกำหนดค่าไฟล์บันทึกของคุณ ยกตัวอย่างเช่นมันอาจแสดงให้เห็นว่าauthและสิ่งอำนวยความสะดวกในการเข้าสู่ระบบauthpriv.* /var/log/auth.logในกรณีอื่น ๆ เช่น Ubuntu ให้ดู/etc/rsyslog.confและไฟล์ใน/etc/rsyslog.dข้อมูลนี้
ล็อกไฟล์ของคุณอาจถูกหมุนดังนั้นนอกเหนือจากการดูไฟล์เช่น/var/log/auth.logคุณอาจต้องดูไฟล์เก่าเช่น/var/log/auth.log.1และ/var/log/auth.log.n.gz(โดยใช้zcat) โดยที่ "n" อาจเป็นจำนวนเต็มใด ๆ ทั้งนี้ขึ้นอยู่กับการตั้งค่าการหมุนของคุณ
~username/.bash_historyแม้ว่าไฟล์ที่สามารถจัดการโดยผู้ใช้บางครั้งคุณสามารถดูคนเช่น แม้แต่ไฟล์อย่างเช่น~username/.lesshstสามารถมีข้อมูลที่เป็นประโยชน์หากคุณต้องการขุดลึกลงไป
วิธีที่น่าสนใจในการดูกิจกรรมทั้งหมดในนัดเดียว
egrep -r '(login|attempt|auth|success):' /var/log
คุณสามารถเปลี่ยนคำค้นหา (เข้าสู่ระบบ | พยายาม | รับรองความถูกต้อง | สำเร็จ) ด้วยคำที่เหมาะสมตามช่อง linux ของคุณ เพื่อเพิ่มการใช้ท่อยาวใน paranthesis
ตรวจสอบข้อความ syslog ใน / var / log / * มีข้อมูลที่ดีมากมายเกี่ยวกับสิ่งที่เกิดขึ้นในระบบของคุณ
เพียงเพิ่มบรรทัดด้านล่างใน/etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*เพื่อจัดการไฟล์ gzipped