Как узнать, когда и какой пользователь вошел в систему под Mac OS X? Последний не достаточно!

15

В Mac OS X, если я не прикоснусь к нему некоторое время, он заблокирует экран, и для его разблокировки потребуется пароль, но этот тип входа не записывается последней командой. Я хочу знать, пытался ли кто-нибудь взломать мой MacBook, когда меня нет перед ним. Есть ли способ, которым я могу регистрировать такие попытки?

osx login logs last Дуэйн
источник
Вы хотите знать, если кто-то угадал ваш пароль? Или просто попробовал?
Boehj
@boehj Я хочу знать, пытался ли кто-нибудь войти в мой macbook, независимо от того, получил ли он правильный пароль или произошел сбой входа.
Дуэйн

Ответы:

11

Если вы подозреваете, что кто-то правильно угадал ваш пароль и получил, вы можете проверить это через Console. Для доступа Consoleнажмите space + пробел и введите «console» в появившемся окне Spotlight. Нажмите возврат.

Нажмите «Диагностические сообщения и сообщения об использовании» на левой панели. Во время правильной попытки входа в систему вы видите что-то вроде этого:

Приставка

Примечание: «экран заблокирован, пользователь ввел правильный пароль».

Теперь, если кто-то попытался, но не получилось, вы увидите что-то вроде этого system.log(также доступно через Console):

провал

Я надеюсь, что это поможет вам.

boehj
источник
Должен быть контроль + пробел, чтобы открыть Spotlight, может быть, это потому, что я не использую английскую версию? Но это, конечно, то, чего я хочу, спасибо большое!
Дуэйн
Нет, вы, вероятно, правы. Я думаю, что настроил это так, чтобы я мог легко соединить их вместе. Удачи с детективной работой.
Boehj
просто искать логин в окне поиска.
Дуэйн
@ user465191: Да, все верно. Есть несколько способов получить нужную информацию. Также, вероятно, стоит отметить, что такие сообщения об ошибках будут выдаваться, если кто-то пытается получить доступ к вашей машине через сеть (то есть ему не нужен физический доступ к вашему MacBook).
Boehj
2
Не имею в виду некро, просто хотел добавить, что я не вижу этих журналов в сообщениях диагностики и использования. Но я просто искал что-то похожее и заметил, что в Files -> secure.log он отслеживает вещи, связанные с loginwindow. Я просто искал что-то такое, чтобы примерно выяснить, когда я пришел на работу, чтобы записывать часы, так что это достаточно хорошо для меня. Может быть, это поможет другим. Благодарность!
notacouch
10

OSX 10.10.3

1. открыть Console

2.Разверните /var/log/на левой панели

3. Нажмите на accountpolicy.log

Вы увидите что-то подобное AuthenticationAllowed completed: record "xx", result: Success (0)..

Кажется, что этот журнал записывает всю историю входа, включая неудачные.

Как это дифференцировать? Успешные имеют две строки, а неудачные - только одну , я думаю ;-)

Stephenmjm
источник
Спасибо, это был именно тот файл, который я искал для своей простой статистики :) #gzcat accountpolicy.log. * | awk '{print $ 8}' | сортировать | uniq -c | sort -n
Daywalker
Я не увидел "accountpolicy.log" на моей консоли. Я смог увидеть, когда дисплей включен через "/ var / log (развернуть дерево) -> powermanagement -> today.asl" phew! :)
rogerdpack