Quiero descubrir todo lo posible sobre cómo se utilizó la PC en los últimos días. Al igual que quién inició sesión, durante cuánto tiempo estuvo bloqueada la PC y cualquier otra información sobre la actividad del usuario que está registrada en la PC.
Sé que el último comando se puede usar para averiguar quién inició sesión y por cuánto tiempo. Cualquier otra información que se pueda encontrar.
Respuestas:
El lastcomando mostrará los inicios de sesión, los cierres de sesión, los reinicios del sistema y los cambios de nivel de ejecución.
El lastlogcomando "informa el inicio de sesión más reciente de todos los usuarios".
El archivo /etc/syslog.confmostrará cómo se configuran sus archivos de registro. Por ejemplo, puede mostrar que authy las authpriv.*instalaciones están registradas /var/log/auth.log. En otros casos, como Ubuntu, mire /etc/rsyslog.confy los archivos /etc/rsyslog.dpara obtener esta información.
Sus archivos de registro probablemente se rotarán, por lo que además de mirar archivos como /var/log/auth.log, es posible que deba buscar en sus contrapartes más antiguas como /var/log/auth.log.1y /var/log/auth.log.n.gz(usando zcat) donde "n" podría ser cualquier número entero dependiendo de cómo esté configurada su rotación.
Aunque los archivos pueden ser manipulados por los usuarios, a veces puede ver archivos como ~username/.bash_history. Incluso los archivos como ~username/.lesshstpueden tener información útil si realmente necesita profundizar.
Una forma interesante de ver toda la actividad de una sola vez.
egrep -r '(login|attempt|auth|success):' /var/log
puede cambiar las palabras clave (inicio de sesión | intento | autenticación | éxito) con las adecuadas según su cuadro de Linux. Para agregar más, use un tubo largo en la parálisis.
Simplemente agregue la siguiente línea en /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*para manejar archivos comprimidos.