過去数日間、PCがどのように使用されていたかについて、可能な限りすべてを知りたいのです。ログインしたユーザーと同様に、PCがロックされていた期間と、PCにログオンしたユーザーアクティビティに関するその他の情報。
最後のコマンドを使用して、誰がどのくらいログインしていたかを確認できることを知っています。見つけることができるその他の情報。
last
コマンドは、ユーザーのログイン、ログアウト、システムの再起動、および実行レベルの変更を表示します。
lastlog
コマンドは、「すべてのユーザーの最新のログインを報告します」。
ファイル /etc/syslog.conf
は、ログファイルの構成方法を示します。たとえば、auth
およびauthpriv.*
機能が/var/log/auth.log
に記録されていることが示される場合があります。 Ubuntuなどの他のケースでは、この情報について /etc/rsyslog.conf
および/etc/rsyslog.d
内のファイルを参照してください。
ログファイルはおそらくローテーションされるため、/var/log/auth.log
などのファイルを確認するだけでなく、/var/log/auth.log.1
や/var/log/auth.log.n.gz
などの古いファイルも確認する必要があります( zcat
)ここで、「n」はローテーションの設定方法に応じて任意の整数にすることができます。
ファイルはユーザーが操作できますが、~username/.bash_history
などのファイルを見ることができます。 ~username/.lesshst
のようなファイルでも、本当に深く掘り下げる必要がある場合に役立つ情報が含まれることがあります。
ワンショットですべてのアクティビティを確認するための面白い方法です。
egrep -r '(login|attempt|auth|success):' /var/log
linuxボックスに応じて、適切なキーワード(ログイン|試行|認証|成功)を変更できます。追加するために、麻痺の長いパイプを使用します。
/ var/log/*のsyslogメッセージを確認してください。システムで何が行われているかについて、多くの良い情報があります。