Я хочу узнать все возможное о том, как ПК использовался в последние несколько дней. Как, например, кто вошел в систему, как долго был заблокирован ПК и любая другая информация о действиях пользователя, которая регистрируется на ПК.
Я знаю, что последняя команда может использоваться, чтобы узнать, кто вошел в систему и как долго. Любая другая информация, которую можно узнать.
Команда lastпокажет пользовательские входы, выходы из системы, перезагрузки системы и изменения уровня выполнения.
Команда lastlog«сообщает о последнем входе в систему всех пользователей».
Файл /etc/syslog.confпокажет, как настроены ваши файлы журнала. Например, это может показать, что authи authpriv.*объекты зарегистрированы /var/log/auth.log. В других случаях, таких как Ubuntu, посмотрите /etc/rsyslog.confи файлы /etc/rsyslog.dдля получения этой информации.
Ваши файлы журналов, вероятно, будут повернуты, поэтому в дополнение к просмотру таких файлов, как /var/log/auth.log, возможно, вам потребуется поискать в их более старых аналогах, таких как /var/log/auth.log.1и /var/log/auth.log.n.gz(используя zcat), где «n» может быть любым целым числом, в зависимости от того, как настроена ваша ротация.
Хотя пользователи могут манипулировать файлами, иногда вы можете посмотреть на такие, как ~username/.bash_history. Даже такие файлы ~username/.lesshstмогут содержать полезную информацию, если вам действительно нужно глубоко копать.
интересный способ увидеть все действия в одном кадре.
egrep -r '(login|attempt|auth|success):' /var/log
Вы можете заменить ключевые слова (логин | попытка | аутентификация | успех) подходящими в соответствии с вашей коробкой Linux. чтобы добавить больше используйте длинную трубу в парантезе.
zgrep -e '(login|attempt|auth|success):' /var/log/*обрабатывать сжатые файлы.Проверьте сообщения системного журнала в / var / log / *, там много полезной информации о том, что происходит в вашей системе.
источник
Просто добавьте нижнюю строку в
/etc/rsyslog.conf:источник