Tôi muốn tìm hiểu mọi thứ có thể về cách PC được sử dụng trong vài ngày qua. Giống như ai đã đăng nhập, PC đã bị khóa trong bao lâu và bất kỳ thông tin nào khác về hoạt động của người dùng được đăng nhập trên PC.
Tôi biết rằng lệnh cuối cùng có thể được sử dụng để tìm ra ai đã đăng nhập và trong bao lâu. Bất kỳ thông tin khác có thể được tìm ra.
Câu trả lời:
Các lastlệnh sẽ hiển thị thông tin đăng nhập của người dùng, thoát ra, khởi động lại hệ thống và thay đổi mức độ chạy.
Các lastloglệnh "báo cáo đăng nhập gần đây nhất của tất cả người dùng".
Tệp /etc/syslog.confsẽ hiển thị cách tệp nhật ký của bạn được cấu hình. Ví dụ, nó có thể hiển thị rằng authvà authpriv.*các cơ sở được đăng nhập /var/log/auth.log. Trong các trường hợp khác, chẳng hạn như Ubuntu, hãy xem /etc/rsyslog.confvà các tệp trong /etc/rsyslog.dthông tin này.
Các tệp nhật ký của bạn có thể sẽ được xoay, do đó, ngoài việc xem các tệp như /var/log/auth.log, bạn có thể cần xem các đối tác cũ hơn của chúng như /var/log/auth.log.1và /var/log/auth.log.n.gz(sử dụng zcat) trong đó "n" có thể là bất kỳ số nguyên nào tùy thuộc vào cách xoay của bạn được thiết lập.
Mặc dù các tệp có thể được thao tác bởi người dùng, đôi khi bạn có thể xem xét các tệp như ~username/.bash_history. Ngay cả các tệp như ~username/.lesshstcó thể có thông tin hữu ích nếu bạn thực sự cần phải đào sâu.
một cách khó hiểu để xem tất cả các hoạt động trong một lần bắn.
egrep -r '(login|attempt|auth|success):' /var/log
bạn có thể thay đổi từ khóa (đăng nhập | nỗ lực | xác thực | thành công) bằng từ khóa phù hợp theo hộp linux của bạn. để thêm nhiều sử dụng ống dài trong parant tổng hợp.
Chỉ cần thêm dòng dưới đây vào /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*để xử lý các tập tin được nén.