Chcę dowiedzieć się wszystkiego, co możliwe o użytkowaniu komputera w ciągu ostatnich kilku dni. Podobnie jak kto się zalogował, na jak długo komputer był zablokowany i wszelkie inne informacje o aktywności użytkownika, które są zalogowane na komputerze.
Wiem, że można użyć ostatniego polecenia, aby dowiedzieć się, kto był zalogowany i na jak długo. Wszelkie inne informacje, które można znaleźć.
lastKomenda pokaże loginy, wylogowania, restartów systemu i zmiany poziomu run.
lastlogKomenda „donosi najnowsze logowanie wszystkich użytkowników”.
Plik /etc/syslog.confpokaże, jak skonfigurowane są pliki dziennika. Na przykład może to oznaczać, że authi authpriv.*obiekty są zalogowane /var/log/auth.log. W innych przypadkach, takich jak Ubuntu, spójrz na te informacje /etc/rsyslog.confi pliki /etc/rsyslog.d.
Twoje pliki dziennika prawdopodobnie zostaną obrócone, więc oprócz przeglądania takich plików /var/log/auth.log, może być konieczne sprawdzenie ich starszych odpowiedników, takich jak /var/log/auth.log.1i /var/log/auth.log.n.gz(przy użyciu zcat), gdzie „n” może być dowolną liczbą całkowitą, w zależności od konfiguracji rotacji.
Chociaż użytkownikami mogą manipulować plikami, czasem można na nie spojrzeć ~username/.bash_history. Nawet takie pliki ~username/.lesshstmogą zawierać przydatne informacje, jeśli naprawdę potrzebujesz głębokiego kopania.
ciekawy sposób, aby zobaczyć całą aktywność w jednym ujęciu.
egrep -r '(login|attempt|auth|success):' /var/log
możesz zmienić słowa kluczowe (logowanie | próba | auth | sukces) na odpowiednie według twojego linuksa. aby dodać więcej, użyj długiej rury w nawiasie.
zgrep -e '(login|attempt|auth|success):' /var/log/*do obsługi spakowanych plików.Sprawdź komunikaty syslog w / var / log / *. Jest tam wiele dobrych informacji o tym, co działo się w twoim systemie.
źródło
Po prostu dodaj poniższy wiersz w
/etc/rsyslog.conf:źródło