Как посмотреть историю входа?


105

Можно ли посмотреть историю входа, я имею в виду, если кто-то использовал компьютер в мое отсутствие и когда он его использовал.
если это возможно, где я могу получить журнал?
если нет, есть ли программа, которая регистрирует все логины и их время?


25
попробуй last в терминале
suhailvs

или если вы хотите сохранить его в файле (скажем, userlogin.log), используйтеlast > userlogin.log
suhailvs

Ответы:


112
/var/log/auth.log

Он содержит гораздо больше, чем просто логины (sudo-вызовы и т. Д.), Но и логины тоже есть. Он защищен, поэтому вам нужно быть пользователем root, чтобы прочитать его:

sudo less /var/log/auth.log

Точная команда для печати не удалась история входа в системе : sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Пример вывода строки: Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Команда печати успешную историю входа в систему : sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Пример вывода строки: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Вероятно, он показывает только логины после последней перезагрузки. Судо исключено, потому что в противном случае наша собственная команда также была бы в списке.
Луки


19

Чтобы просмотреть самый последний вход в систему для всех учетных записей в системе, попробуйте lastlog. Есть несколько полезных опций, таких как просмотр только определенного пользователя.


3
Это говорит мне о том, что никто никогда не входил в систему (что явно неверно, поскольку я вошел в систему, чтобы запустить его)
JoshB

1
Мой вывод в последнем журнале тоже неверный - у двух моих пользователей есть записи (оба неверные), а у одного "никогда не было входа".
pbhj

К вашему сведению: Ubuntu18 выглядит хорошо
DimiDak

8

Хорошо добавив свой вопрос и ответ Оли, если вы находитесь на ноутбуке, вы также можете проверить его, выбрав точный контент, например

sudo cat /var/log/auth.log | grep "Lid opened"

или же

sudo cat /var/log/auth.log | grep "Lid closed"

и выполняет ли он / она какую-либо деятельность с разрешения sudo

sudo cat /var/log/auth.log | grep "session opened for user root"

или же

sudo cat /var/log/auth.log | grep "session closed for user root"

Это даст вам дополнительную информацию о том, что вы хотите знать о том, как пользователь вошел в вашу систему без вашего разрешения :) :)


1
Я также использую, sudo grep 'login keyring' /var/log/auth.orgчтобы проверить историю входа.
Тао Ван
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.