Làm thế nào để xem lịch sử đăng nhập?


105

Có thể xem lịch sử đăng nhập, tôi có nghĩa là để xem ai đó đã sử dụng máy tính khi tôi vắng mặt và khi anh ta sử dụng nó.
Nếu có thể, tôi có thể lấy nhật ký ở đâu?
nếu không, có một chương trình ghi lại tất cả các thông tin đăng nhập và thời gian của họ không?


25
thử last trong thiết bị đầu cuối
suhailvs

hoặc nếu bạn muốn lưu nó trong một tệp (giả sử userlogin.log) sử dụnglast > userlogin.log
suhailvs

Câu trả lời:


112
/var/log/auth.log

Điều đó chứa nhiều hơn chỉ là thông tin đăng nhập đơn giản (cuộc gọi sudo, v.v.) nhưng thông tin đăng nhập cũng ở đó. Nó được bảo vệ vì vậy bạn sẽ cần phải root để đọc nó:

sudo less /var/log/auth.log

Lệnh chính xác để in lịch sử đăng nhập thất bại : sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Ví dụ dòng đầu ra : Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Lệnh in lịch sử đăng nhập thành công : sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Ví dụ dòng đầu ra : Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Có lẽ nó chỉ hiển thị thông tin đăng nhập sau lần khởi động lại cuối cùng. Sudo bị loại trừ vì nếu không lệnh của chúng ta cũng sẽ được liệt kê.
luke

39

Như Suhail đã đề cập trong một bình luận , lastlệnh sẽ hiển thị danh sách những người dùng đã đăng nhập lần cuối.


19

Để xem thông tin đăng nhập gần đây nhất cho tất cả các tài khoản trên hệ thống, hãy thử lastlog. Có một vài tùy chọn hữu ích, chẳng hạn như chỉ xem một người dùng cụ thể.


3
Điều này cho tôi biết rằng chưa có ai từng đăng nhập (điều này rõ ràng là sai khi tôi đăng nhập để chạy nó)
JoshB

1
Đầu ra cuối cùng của tôi cũng sai - hai trong số những người dùng của tôi có các mục (cả hai đều sai) và một người đã "không bao giờ đăng nhập".
pbhj

FYI: Có vẻ ổn trên Ubuntu18
DimiDak

8

Nối thêm câu hỏi của bạn và câu trả lời của oli nếu bạn đang ở trên máy tính xách tay thì bạn cũng có thể kiểm tra nó thông qua việc lấy nội dung chính xác như

sudo cat /var/log/auth.log | grep "Lid opened"

hoặc là

sudo cat /var/log/auth.log | grep "Lid closed"

và liệu anh ấy / cô ấy thực hiện bất kỳ loại hoạt động nào thông qua sự cho phép của sudo bởi

sudo cat /var/log/auth.log | grep "session opened for user root"

hoặc là

sudo cat /var/log/auth.log | grep "session closed for user root"

Nó sẽ cung cấp cho bạn thêm thông tin những gì bạn muốn biết về người dùng đã đăng nhập vào hệ thống của bạn mà không có sự cho phép của bạn :) :)


1
Tôi cũng sử dụng sudo grep 'login keyring' /var/log/auth.orgđể kiểm tra lịch sử đăng nhập.
Tao Wang
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.