Как увидеть все мои неудачные попытки входа в систему (macOS High Sierra)

7

Я пробовал следующие команды: 

syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who

Благодаря Scot работает следующая команда: 

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d

Проблема в том, что он не дает мне имя пользователя учетной записи, пытающейся получить доступ.

Кто-нибудь из программ bash / Python или команд терминала, который даст мне мои неудачные попытки входа в систему (графический вход в систему / ssh)?

Посмотреть больше информации Вот

macos command-line high-sierra login logs H. Kamran
источник

Ответы:

1

Я хотел увидеть имя пользователя неудачных и успешных попыток входа в систему на моем Mac High Sierra и в итоге опубликовал еще один вопрос на SE. Позже я нашел ответ и обновил этот пост.

Если вы все еще ищете способ видеть имена пользователей в журналах, вам нужно включить «приватный» режим для журналов. Вот команда, чтобы сделать это: 

sudo log config --mode "private_data:on"

Вот мой пост, где я уже разместил этот ответ:

Mac OS High Sierra, как увидеть имя пользователя для неудачной попытки входа в систему

Curious101
источник
2

Вы можете восстановить неудачный вход в систему с помощью команды, подобной следующей:

Для потоковой передачи данных:

log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog

Или неудачные входы в систему за последний час:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h

Но это не будет отображать имя пользователя для неудавшегося запроса, только то, что произошел сбой.

Scot
источник
Это должно быть то, что мне нужно ... Сначала я проверю. Выполняется тест сейчас.
H. Kamran
Эта команда выполняется слишком долго! По прошествии 20 часов он все еще не обнаружил никаких сбоев, хотя я целенаправленно вводил некоторые символы неправильно.
H. Kamran
Хм - это должно быть практически мгновенно. И, log show Команда должна подобрать любые сбои, которые произошли ранее. Попробуйте команду ниже, это займет несколько секунд для запуска на моем компьютере.
Scot
1
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Scot
Приведенные выше команды должны отображать все сбои, которые произошли в последний день, поэтому ваши предыдущие тесты должны появиться ...
Scot
0

Не похоже, что Apple регистрирует каждый сбой входа в систему, или, по крайней мере, я не вижу журнал со всеми сбоями входа в систему. Я заблокировал экран и не смог войти в систему, и, похоже, он нигде не записывался.

Однако в файле /private/var/log/system.log есть некоторые ошибки аутентификации.

16 апреля 20:22:34 My-MacBook-Pro sudo [50638]: имя пользователя: 3 неверно   попытки пароля; TTY = ttys000; PWD = / Users / имя пользователя; ПОЛЬЗОВАТЕЛЬ = root;   COMMAND = / USR / бен / су

Вы также увидите эти сообщения в Console.app

Console.app login failure

freehunter
источник
Обработка файлов журналов не является хорошей стратегией, поскольку унифицированные журналы Apple управляются базой данных. См. Ответ Скотта об использовании команды log для потоковой передачи и поиска в журналах этих деталей. Нет -1, поскольку вы явно предлагали помощь, просто не можете +1 ответить на этот вопрос в том виде, в каком он есть.
bmike