Windowsユーザーが自分のパスワードを使用してコンピューターにログオンしたと思われます。それでは、コンピューターにログインした痕跡を見ることができるのでしょうか?
方法1:
いつでもユーザーのログイン履歴を取得する
last
コマンドは、特定のユーザー名のログイン履歴を提供します。このコマンドに引数を指定しない場合、すべてのユーザーのログイン履歴がリストされます。デフォルトでは、この情報は/var/log/wtmp
ファイルから読み取られます。このコマンドの出力には、次の列が含まれます。
コマンド:$last jason
jason pts/0 dev-db-server Fri Mar 27 22:57 still logged in
jason pts/0 dev-db-server Fri Mar 27 22:09 - 22:54 (00:45)
jason pts/0 dev-db-server Wed Mar 25 19:58 - 22:26 (02:28)
jason pts/1 dev-db-server Mon Mar 16 20:10 - 21:44 (01:33)
jason pts/0 192.168.201.11 Fri Mar 13 08:35 - 16:46 (08:11)
jason pts/1 192.168.201.12 Thu Mar 12 09:03 - 09:19 (00:15)
jason pts/0 dev-db-server Wed Mar 11 20:11 - 20:50 (00:39
方法2:
Linuxでlastlog
コマンドを使用することもできます。ユーザーログインのログを調べるときに、日付の範囲をより詳細に制御できます。
lastlogのマニュアルページ:
lastlog - reports the most recent login of all users or of a given user
例:過去100日間にシステムにログインしたユーザーを見つけるため。
$ lastlog -b 0 -t 100
Username Port From Latest
sam pts/0 pegasus Wed Jan 8 20:32:25 -0500 2014
joe pts/0 192.168.1.105 Thu Dec 12 12:47:11 -0500 2013
これは、これらのユーザーが最後にこのシステムにログインしたことを示しています。時間の範囲は過去100日間を示しています。今日前(-b 0)および100日前(-t 100)。
また、範囲を省略して、これまでにログインしたすべてのユーザーと最後にログインしたユーザーを表示することで、すべてのユーザーを表示することもできます。
last
を使用して、最後のログインを表示できます。 /var/log/auth.log
には認証固有のアクションのログファイルもあります