lastlog(8)จะรายงานข้อมูลล่าสุดจาก/var/log/lastlogโรงงานหากคุณpam_lastlog(8)กำหนดค่าไว้
aulastlog(8)จะทำให้รายงานที่คล้ายกัน /var/log/audit/audit.logแต่จากบันทึกการตรวจสอบใน (แนะนำเนื่องจากauditd(8)ระเบียนนั้นยากต่อการแก้ไขมากกว่าsyslog(3)บันทึก)
ausearch -c sshdจะค้นหาบันทึกการตรวจสอบของคุณเพื่อดูรายงานจากsshdกระบวนการ
last(8)จะค้นหา/var/log/wtmpการเข้าสู่ระบบครั้งล่าสุด จะแสดงlastb(8)bad login attempts
/root/.bash_history อาจมีรายละเอียดบางอย่างโดยสมมติว่าผู้ที่ออกไปเล่นกับระบบของคุณไร้ความสามารถมากพอที่จะไม่ลบออกก่อนที่จะออกจากระบบ
ให้แน่ใจว่าคุณตรวจสอบ~/.ssh/authorized_keysไฟล์สำหรับผู้ใช้ทุกคนในระบบการตรวจสอบcrontabเพื่อให้แน่ใจว่าไม่มีพอร์ตใหม่มีกำหนดที่จะเปิดจุดในอนาคต ฯลฯ บางส่วนในขณะที่คุณจริงๆก็ควรจะสร้างเครื่องจากรอยขีดข่วนก็จะไม่เจ็บ เพื่อใช้เวลาในการเรียนรู้สิ่งที่ผู้โจมตีทำ
โปรดทราบว่าบันทึกทั้งหมดที่เก็บไว้ในเครื่องจะต้องสงสัย บันทึกเดียวที่คุณเชื่อถือได้แนบเนียนจะถูกส่งต่อไปยังเครื่องอื่นที่ไม่ได้รับอันตราย อาจจะคุ้มค่าที่จะตรวจสอบการจัดการบันทึกจากส่วนกลางผ่านทางrsyslog(8)หรือการauditd(8)จัดการเครื่องระยะไกล