Как посмотреть историю входа?

105

Можно ли посмотреть историю входа, я имею в виду, если кто-то использовал компьютер в мое отсутствие и когда он его использовал.
если это возможно, где я могу получить журнал?
если нет, есть ли программа, которая регистрирует все логины и их время?

login log

— DZERO
источник

25

попробуй last в терминале

— suhailvs

или если вы хотите сохранить его в файле (скажем, userlogin.log), используйтеlast > userlogin.log

— suhailvs

112

/var/log/auth.log

Он содержит гораздо больше, чем просто логины (sudo-вызовы и т. Д.), Но и логины тоже есть. Он защищен, поэтому вам нужно быть пользователем root, чтобы прочитать его:

sudo less /var/log/auth.log

— Оли
источник

Точная команда для печати не удалась история входа в системе : sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Пример вывода строки:

Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost=  user=ld

. Команда печати успешную историю входа в систему : sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Пример вывода строки: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Вероятно, он показывает только логины после последней перезагрузки. Судо исключено, потому что в противном случае наша собственная команда также была бы в списке.

— Луки

39

Как упомянул Suhail в комментарии , lastкоманда покажет список последних зарегистрированных пользователей.

— Дон Киркби
источник

19

Чтобы просмотреть самый последний вход в систему для всех учетных записей в системе, попробуйте lastlog. Есть несколько полезных опций, таких как просмотр только определенного пользователя.

— Карате-пацан
источник

3

Это говорит мне о том, что никто никогда не входил в систему (что явно неверно, поскольку я вошел в систему, чтобы запустить его)

— JoshB

1

Мой вывод в последнем журнале тоже неверный - у двух моих пользователей есть записи (оба неверные), а у одного "никогда не было входа".

— pbhj

К вашему сведению: Ubuntu18 выглядит хорошо

— DimiDak

8

Хорошо добавив свой вопрос и ответ Оли, если вы находитесь на ноутбуке, вы также можете проверить его, выбрав точный контент, например

sudo cat /var/log/auth.log | grep "Lid opened"

или же

sudo cat /var/log/auth.log | grep "Lid closed"

и выполняет ли он / она какую-либо деятельность с разрешения sudo

sudo cat /var/log/auth.log | grep "session opened for user root"

или же

sudo cat /var/log/auth.log | grep "session closed for user root"

Это даст вам дополнительную информацию о том, что вы хотите знать о том, как пользователь вошел в вашу систему без вашего разрешения :) :)

— Дипаншу Джайн
источник

1

Я также использую, sudo grep 'login keyring' /var/log/auth.orgчтобы проверить историю входа.

— Тао Ван