Как посмотреть журналы активности на ПК с Linux?


15

Я хочу узнать все возможное о том, как ПК использовался в последние несколько дней. Как, например, кто вошел в систему, как долго был заблокирован ПК и любая другая информация о действиях пользователя, которая регистрируется на ПК.

Я знаю, что последняя команда может использоваться, чтобы узнать, кто вошел в систему и как долго. Любая другая информация, которую можно узнать.

Ответы:


18

Команда lastпокажет пользовательские входы, выходы из системы, перезагрузки системы и изменения уровня выполнения.

Команда lastlog«сообщает о последнем входе в систему всех пользователей».

Файл /etc/syslog.confпокажет, как настроены ваши файлы журнала. Например, это может показать, что authи authpriv.*объекты зарегистрированы /var/log/auth.log. В других случаях, таких как Ubuntu, посмотрите /etc/rsyslog.confи файлы /etc/rsyslog.dдля получения этой информации.

Ваши файлы журналов, вероятно, будут повернуты, поэтому в дополнение к просмотру таких файлов, как /var/log/auth.log, возможно, вам потребуется поискать в их более старых аналогах, таких как /var/log/auth.log.1и /var/log/auth.log.n.gz(используя zcat), где «n» может быть любым целым числом, в зависимости от того, как настроена ваша ротация.

Хотя пользователи могут манипулировать файлами, иногда вы можете посмотреть на такие, как ~username/.bash_history. Даже такие файлы ~username/.lesshstмогут содержать полезную информацию, если вам действительно нужно глубоко копать.


3

интересный способ увидеть все действия в одном кадре.

egrep -r '(login|attempt|auth|success):' /var/log

Вы можете заменить ключевые слова (логин | попытка | аутентификация | успех) подходящими в соответствии с вашей коробкой Linux. чтобы добавить больше используйте длинную трубу в парантезе.


1
zgrep -e '(login|attempt|auth|success):' /var/log/*обрабатывать сжатые файлы.
CivFan

2

Проверьте сообщения системного журнала в / var / log / *, там много полезной информации о том, что происходит в вашей системе.


-2

Просто добавьте нижнюю строку в /etc/rsyslog.conf:

local3.*     /var/log/user-activity.log
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.