Come visualizzare la cronologia degli accessi?


105

È possibile vedere la cronologia degli accessi, intendo vedere se qualcuno ha usato il computer in mia assenza e quando l'ha usato.
se è possibile, dove posso ottenere il registro?
in caso contrario, esiste un programma che registra tutti gli accessi e il loro orario?


25
prova last nel terminal
suhailvs,

o se vuoi salvarlo in un file (ad esempio userlogin.log) usalast > userlogin.log
suhailvs il

Risposte:


112
/var/log/auth.log

Ciò contiene molto più di semplici accessi semplici (chiamate sudo, ecc.) Ma anche gli accessi. È protetto, quindi dovrai essere root per leggerlo:

sudo less /var/log/auth.log

Esatto comando di stampa non è riuscito storia login: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Linea di uscita Esempio: Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Comando di stampa storia accesso riuscito: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Linea di uscita Esempio: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Probabilmente mostra solo gli accessi dopo l'ultimo riavvio. Il Sudo è escluso perché altrimenti verrebbe elencato anche il nostro comando.
Luca,

39

Come Suhail ha menzionato in un commento , il lastcomando mostrerà un elenco degli ultimi utenti che hanno effettuato l'accesso.


19

Per visualizzare il login più recente per tutti gli account sul sistema, provare lastlog. Ci sono alcune opzioni utili, come visualizzare solo un utente specifico.


3
Questo mi dice che nessuno ha mai effettuato l'accesso (il che è chiaramente falso dato che sono loggato per eseguirlo)
JoshB

1
Anche l'output di lastlog è errato: due dei miei utenti hanno voci (entrambe errate) e una non ha "mai effettuato l'accesso".
pbhj,

FYI: Sembra ok su Ubuntu18
DimiDak il

8

Bene aggiungendo la tua domanda e la risposta di oli se sei su un laptop , puoi anche controllarlo greppando il contenuto esatto come

sudo cat /var/log/auth.log | grep "Lid opened"

o

sudo cat /var/log/auth.log | grep "Lid closed"

e se svolge qualsiasi tipo di attività attraverso l'autorizzazione sudo di

sudo cat /var/log/auth.log | grep "session opened for user root"

o

sudo cat /var/log/auth.log | grep "session closed for user root"

Ti fornirà ulteriori informazioni su ciò che vuoi sapere sull'utente che ha effettuato l'accesso al tuo sistema senza la tua autorizzazione :) :)


1
Uso anche sudo grep 'login keyring' /var/log/auth.orgper controllare la cronologia degli accessi.
Tao Wang,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.