Хочу дізнатися все можливе про те, як ПК використовувався за останні кілька днів. Як і хто входив у систему, на скільки часу було заблоковано ПК та будь-яку іншу інформацію про діяльність користувачів, яка входить у систему на ПК.
Я знаю, що остання команда може бути використана для з'ясування того, хто був увійшов у систему та як довго. Будь-яка інша інформація, яку можна дізнатися.
Відповіді:
lastКоманда покаже логіни, виходи з системи, перезавантаження системи і зміна рівня запуску.
lastlogКоманда «повідомляє про останню реєстрації всіх користувачів».
У файлі /etc/syslog.confбуде показано, як налаштовані ваші журналові файли. Наприклад, це може показувати, що authі authpriv.*об'єкти ввійшли в систему /var/log/auth.log. В інших випадках, таких як Ubuntu, перегляньте /etc/rsyslog.confта файли /etc/rsyslog.dдля цієї інформації.
Ваші файли журналів, ймовірно, будуть обернені, тому крім перегляду таких файлів, як /var/log/auth.logвам може знадобитися заглянути їхні старі аналоги, такі як /var/log/auth.log.1та /var/log/auth.log.n.gz(з використанням zcat), де "n" може бути будь-яким цілим числом, залежно від того, як налаштовано ваше обертання.
Хоча користувачами файлами можуть управляти файли, іноді ви можете переглянути такі, як ~username/.bash_history. Навіть такі файли ~username/.lesshstможуть мати корисну інформацію, якщо вам дійсно потрібно копати глибоко.
Просто додайте нижче рядок у /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*для обробки gzipped файлів.