Voglio scoprire tutto il possibile su come il PC è stato utilizzato negli ultimi giorni. Come chi ha effettuato l'accesso, per quanto tempo è stato bloccato il PC e qualsiasi altra informazione sull'attività dell'utente che è stata registrata sul PC.
So che l'ultimo comando può essere utilizzato per scoprire chi è stato registrato e per quanto tempo. Qualsiasi altra informazione che può essere scoperta.
Risposte:
Il lastcomando mostrerà accessi utente, disconnessioni, riavvii del sistema ed eseguirà cambiamenti di livello.
Il lastlogcomando "riporta il login più recente di tutti gli utenti".
Il file /etc/syslog.confmostrerà come sono configurati i file di registro. Ad esempio, potrebbe mostrare che authe le authpriv.*strutture sono registrate /var/log/auth.log. In altri casi, come Ubuntu, guarda /etc/rsyslog.confe cerca i file /etc/rsyslog.dper queste informazioni.
Probabilmente i tuoi file di registro verranno ruotati, quindi oltre a guardare file come /var/log/auth.log, potresti dover guardare le loro controparti più vecchie come /var/log/auth.log.1e /var/log/auth.log.n.gz(usando zcat) dove "n" potrebbe essere un numero intero a seconda di come è impostata la tua rotazione.
Sebbene i file possano essere manipolati dagli utenti, a volte puoi guardarne uno come ~username/.bash_history. Anche file come ~username/.lesshstpossono avere informazioni utili se hai davvero bisogno di scavare in profondità.
un modo interessante per vedere tutte le attività in un colpo solo.
egrep -r '(login|attempt|auth|success):' /var/log
puoi cambiare le parole chiave (login | tentativo | autent | successo) con quelle adatte in base alla tua casella di linux. per aggiungere altro usa il tubo lungo in paresi.
Aggiungi sotto la riga in /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*per gestire i file compressi con gzip.