Chcę dowiedzieć się wszystkiego, co możliwe o użytkowaniu komputera w ciągu ostatnich kilku dni. Podobnie jak kto się zalogował, na jak długo komputer był zablokowany i wszelkie inne informacje o aktywności użytkownika, które są zalogowane na komputerze.
Wiem, że można użyć ostatniego polecenia, aby dowiedzieć się, kto był zalogowany i na jak długo. Wszelkie inne informacje, które można znaleźć.
Odpowiedzi:
lastKomenda pokaże loginy, wylogowania, restartów systemu i zmiany poziomu run.
lastlogKomenda „donosi najnowsze logowanie wszystkich użytkowników”.
Plik /etc/syslog.confpokaże, jak skonfigurowane są pliki dziennika. Na przykład może to oznaczać, że authi authpriv.*obiekty są zalogowane /var/log/auth.log. W innych przypadkach, takich jak Ubuntu, spójrz na te informacje /etc/rsyslog.confi pliki /etc/rsyslog.d.
Twoje pliki dziennika prawdopodobnie zostaną obrócone, więc oprócz przeglądania takich plików /var/log/auth.log, może być konieczne sprawdzenie ich starszych odpowiedników, takich jak /var/log/auth.log.1i /var/log/auth.log.n.gz(przy użyciu zcat), gdzie „n” może być dowolną liczbą całkowitą, w zależności od konfiguracji rotacji.
Chociaż użytkownikami mogą manipulować plikami, czasem można na nie spojrzeć ~username/.bash_history. Nawet takie pliki ~username/.lesshstmogą zawierać przydatne informacje, jeśli naprawdę potrzebujesz głębokiego kopania.
Po prostu dodaj poniższy wiersz w /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*do obsługi spakowanych plików.