Je veux tout savoir sur la façon dont le PC a été utilisé ces derniers jours. Comme qui s'est connecté, pendant combien de temps le PC a-t-il été verrouillé et toute autre information sur l'activité de l'utilisateur qui est connectée sur le PC.
Je sais que la dernière commande peut être utilisée pour savoir qui était connecté et pour combien de temps. Toute autre information pouvant être trouvée.
La lastcommande affichera les connexions utilisateur, les déconnexions, les redémarrages du système et les changements de niveau d'exécution.
La lastlogcommande "signale la connexion la plus récente de tous les utilisateurs".
Le fichier /etc/syslog.confmontrera comment vos fichiers journaux sont configurés. Par exemple, il peut montrer que authet les authpriv.*installations sont connectées /var/log/auth.log. Dans d'autres cas, comme Ubuntu, consultez /etc/rsyslog.confet les fichiers /etc/rsyslog.dpour ces informations.
Vos fichiers journaux seront probablement tournés, donc en plus de regarder des fichiers tels que /var/log/auth.log, vous devrez peut-être regarder dans leurs homologues plus anciens tels que /var/log/auth.log.1et /var/log/auth.log.n.gz(en utilisant zcat) où "n" pourrait être un entier selon la façon dont votre rotation est configurée.
Bien que les fichiers puissent être manipulés par les utilisateurs, vous pouvez parfois les consulter tels que ~username/.bash_history. Même les fichiers comme ~username/.lesshstpeuvent contenir des informations utiles si vous avez vraiment besoin de creuser profondément.
une façon intéressante de voir toutes les activités d'un seul coup.
egrep -r '(login|attempt|auth|success):' /var/log
vous pouvez changer les mots-clés (login | tentative | auth | succès) avec des mots-clés appropriés selon votre box linux. pour ajouter plus utiliser un long tuyau en paranthèse.
zgrep -e '(login|attempt|auth|success):' /var/log/*pour gérer les fichiers compressés.Consultez les messages syslog dans / var / log / *, il y a beaucoup de bonnes informations sur ce qui s'est passé sur votre système.
la source
Ajoutez simplement la ligne ci-dessous
/etc/rsyslog.conf:la source