Comment voir l'historique de connexion?

105

Est-il possible de voir l'historique de connexion, je veux dire si quelqu'un a utilisé l'ordinateur en mon absence et quand il l'a utilisé.
si c'est possible, où puis-je obtenir le journal?
Si non, existe-t-il un programme qui enregistre toutes les connexions et leur heure?

Dzero
la source
25
essayer last en terminal
suhailvs
ou si vous voulez l'enregistrer dans un fichier (par exemple, userlogin.log), utilisezlast > userlogin.log
suhailvs

Réponses:

112
/var/log/auth.log

Cela contient beaucoup plus que de simples connexions (appels sudo, etc.), mais les connexions sont également présentes. C'est protégé donc vous devez être root pour le lire:

sudo less /var/log/auth.log
Oli
la source
Commande exacte impression n'a pas de connexion historique: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie: Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Commande pour imprimer l' histoire réussie de connexion: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Probablement, il ne montre que les connexions après le dernier redémarrage. Sudo est exclu car sinon notre propre commande serait aussi listée.
luke
39

Comme Suhail l'a mentionné dans un commentaire , la lastcommande affiche une liste des derniers utilisateurs connectés.

Don Kirkby
la source
19

Pour afficher la dernière connexion de tous les comptes du système, essayez lastlog. Il existe quelques options utiles, telles que l'affichage d'un utilisateur spécifique.

Le Karaté Kid
la source
3
Cela me dit que personne ne s'est jamais connecté (ce qui est clairement faux car je suis connecté pour l'exécuter)
JoshB
1
Ma dernière sortie lastlog est également erronée - deux de mes utilisateurs ont des entrées (toutes les deux sont fausses) et l’un n’a jamais été connecté.
pbhj
Pour votre information: OK sur Ubuntu18
DimiDak
8

Bien ajouter votre question et la réponse de oli si vous êtes sur un ordinateur portable, vous pouvez également le vérifier en passant le contenu exact comme

sudo cat /var/log/auth.log | grep "Lid opened"

ou

sudo cat /var/log/auth.log | grep "Lid closed"

et s'il / elle exerce tout type d'activité avec la permission de sudo en

sudo cat /var/log/auth.log | grep "session opened for user root"

ou

sudo cat /var/log/auth.log | grep "session closed for user root"

Il vous donnera des informations supplémentaires sur ce que vous voulez savoir sur l'utilisateur connecté à votre système sans votre permission :) :)

Deepanshu Jain
la source
1
J'utilise également sudo grep 'login keyring' /var/log/auth.orgpour vérifier l'historique de connexion.
Tao Wang