Ich möchte herausfinden, wie der PC in den letzten Tagen verwendet wurde. Wie wer angemeldet war, wie lange war der PC gesperrt und alle anderen Informationen über Benutzeraktivitäten, die auf dem PC angemeldet sind.
Ich weiß, dass der letzte Befehl verwendet werden kann, um herauszufinden, wer wie lange angemeldet war. Alle anderen Informationen, die herausgefunden werden können.
Der lastBefehl zeigt Benutzeranmeldungen, Abmeldungen, Systemneustarts und Änderungen der Ausführungsebene an.
Der lastlogBefehl "meldet die letzte Anmeldung aller Benutzer".
Die Datei /etc/syslog.confzeigt, wie Ihre Protokolldateien konfiguriert sind. Beispielsweise kann es zeigen, dass authund authpriv.*Einrichtungen angemeldet sind /var/log/auth.log. In anderen Fällen, z. B. bei Ubuntu, suchen Sie in /etc/rsyslog.confund in den Dateien /etc/rsyslog.dnach diesen Informationen.
Ihre Protokolldateien werden wahrscheinlich gedreht. Zusätzlich zum Anzeigen von Dateien wie /var/log/auth.logmüssen Sie möglicherweise nach älteren Gegenstücken wie /var/log/auth.log.1und /var/log/auth.log.n.gz(mithilfe von zcat) suchen, wobei "n" eine beliebige Ganzzahl sein kann, je nachdem, wie Ihre Drehung eingerichtet ist.
Obwohl die Dateien von den Benutzern manipuliert werden können, können Sie sich manchmal solche wie ansehen ~username/.bash_history. Sogar Dateien wie ~username/.lesshstkönnen nützliche Informationen enthalten, wenn Sie wirklich tief graben müssen.
Eine faszinierende Möglichkeit, alle Aktivitäten auf einen Schlag zu sehen.
egrep -r '(login|attempt|auth|success):' /var/log
Sie können die Schlüsselwörter (login | attempt | auth | success) entsprechend Ihrer Linux-Box durch geeignete ändern. Um mehr hinzuzufügen, verwenden Sie die lange Pfeife in Klammern.
zgrep -e '(login|attempt|auth|success):' /var/log/*um gzippte Dateien zu handhaben.Überprüfen Sie die Syslog-Meldungen in / var / log / *. Dort finden Sie viele nützliche Informationen darüber, was auf Ihrem System vor sich gegangen ist.
quelle
Fügen Sie einfach die folgende Zeile ein
/etc/rsyslog.conf:quelle