Wie wird der Anmeldeverlauf angezeigt?


105

Ist es möglich, den Anmeldeverlauf zu sehen, ich meine, um zu sehen, ob jemand den Computer in meiner Abwesenheit benutzt hat und wann er ihn benutzt hat.
Woher bekomme ich das Protokoll, wenn es möglich ist?
Wenn nicht, gibt es ein Programm, das alle Anmeldungen und ihre Zeit protokolliert?


25
versuchen Sie es last im Terminal
suhailvs

oder wenn du es in einer Datei speichern willst (sprich userlogin.log) benutzelast > userlogin.log
suhailvs

Antworten:


112
/var/log/auth.log

Das enthält viel mehr als nur einfache Anmeldungen (Sudo-Aufrufe usw.), aber auch Anmeldungen sind vorhanden. Es ist geschützt, so dass Sie root sein müssen, um es zu lesen:

sudo less /var/log/auth.log

Genauer Befehl zum Drucken fehlgeschlagenen Login - Geschichte: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Beispiel Ausgabe Linie: Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Befehl erfolgreich Login Geschichte drucken: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Beispiel Ausgabe Linie: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Möglicherweise werden nur Anmeldungen nach dem letzten Neustart angezeigt. Sudo ist ausgeschlossen, da sonst auch unser eigenes Kommando aufgeführt wäre.
Luke


19

Versuchen Sie, die neueste Anmeldung für alle Konten im System anzuzeigen lastlog. Es gibt einige nützliche Optionen, z. B. das Anzeigen nur eines bestimmten Benutzers.


3
Dies sagt mir, dass sich noch niemand angemeldet hat (was eindeutig falsch ist, da ich angemeldet bin, um es auszuführen)
JoshB

1
Meine letzte Protokollausgabe ist ebenfalls falsch - zwei meiner Benutzer haben Einträge (beide falsch) und einer hat sich "nie angemeldet".
pbhj

Zur
Info

8

Nun Anfügen Ihre Frage und Antwort des oli wenn Sie sind Laptop dann können Sie es auch überprüfen durch greppen den genauen Inhalt wie

sudo cat /var/log/auth.log | grep "Lid opened"

oder

sudo cat /var/log/auth.log | grep "Lid closed"

und ob er / sie irgendeine Art von Aktivität mit Erlaubnis von sudo durchführt

sudo cat /var/log/auth.log | grep "session opened for user root"

oder

sudo cat /var/log/auth.log | grep "session closed for user root"

Es gibt Ihnen zusätzliche Informationen darüber, was Sie über den in Ihrem System angemeldeten Benutzer ohne Ihre Erlaubnis wissen möchten :) :)


1
Ich benutze auch sudo grep 'login keyring' /var/log/auth.org, um den Login-Verlauf zu überprüfen.
Tao Wang
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.