Команда last
покажет пользовательские входы, выходы из системы, перезагрузки системы и изменения уровня выполнения.
Команда lastlog
«сообщает о последнем входе в систему всех пользователей».
Файл /etc/syslog.conf
покажет, как настроены ваши файлы журнала. Например, это может показать, что auth
и authpriv.*
объекты зарегистрированы /var/log/auth.log
. В других случаях, таких как Ubuntu, посмотрите /etc/rsyslog.conf
и файлы /etc/rsyslog.d
для получения этой информации.
Ваши файлы журналов, вероятно, будут повернуты, поэтому в дополнение к просмотру таких файлов, как /var/log/auth.log
, возможно, вам потребуется поискать в их более старых аналогах, таких как /var/log/auth.log.1
и /var/log/auth.log.n.gz
(используя zcat
), где «n» может быть любым целым числом, в зависимости от того, как настроена ваша ротация.
Хотя пользователи могут манипулировать файлами, иногда вы можете посмотреть на такие, как ~username/.bash_history
. Даже такие файлы ~username/.lesshst
могут содержать полезную информацию, если вам действительно нужно глубоко копать.
zgrep -e '(login|attempt|auth|success):' /var/log/*
обрабатывать сжатые файлы.