Я хочу узнать все возможное о том, как использовался компьютер за последние несколько дней. Например, кто вошел в систему, как долго компьютер был заблокирован, а также любую другую информацию об активности пользователя, которая регистрируется на компьютере.
Я знаю, что последнюю команду можно использовать, чтобы узнать, кто был в системе и как долго. Любая другая информация, которую можно узнать.
В last Команда покажет вход в систему, выход из системы, перезагрузку системы и изменения уровня выполнения.
В lastlog команда «сообщает о самом последнем входе всех пользователей».
Файл /etc/syslog.conf покажет, как настроены ваши файлы журналов. Например, он может показать, что auth и authpriv.* объекты подключены к /var/log/auth.log. В других случаях, таких как Ubuntu, посмотрите /etc/rsyslog.conf и файлы в /etc/rsyslog.d для этой информации.
Ваши файлы журнала, вероятно, будут вращаться, поэтому помимо просмотра таких файлов, как /var/log/auth.log, вам может потребоваться поискать их более старые аналоги, такие как /var/log/auth.log.1 и /var/log/auth.log.n.gz (с помощью zcat), где «n» может быть любым целым числом в зависимости от того, как настроено ваше вращение.
Хотя пользователи могут манипулировать файлами, иногда вы можете посмотреть на такие файлы, как ~username/.bash_history. Даже такие файлы, как ~username/.lesshst может иметь полезную информацию, если вам действительно нужно покопаться.
интересный способ увидеть всю активность в одном кадре.
egrep -r '(login|attempt|auth|success):' /var/log
вы можете изменить ключевые слова (логин | попытка | аутентификация | успех) на подходящие в соответствии с вашим Linux-окном. чтобы добавить больше, используйте длинную трубку в скобках.
Просмотрите сообщения системного журнала в / var / log / * там есть много полезной информации о том, что происходит в вашей системе.
Просто добавьте строку ниже в /etc/rsyslog.conf:
local3.* /var/log/user-activity.log