¿Cómo ver el historial de inicio de sesión?

104

¿Es posible ver el historial de inicio de sesión? Quiero decir si alguien ha usado la computadora en mi ausencia y cuándo la usó.
Si es posible, ¿dónde puedo obtener el registro?
Si no, ¿hay un programa que registre todos los inicios de sesión y su tiempo?

login log

— Dzero
fuente

25

probar last en la terminal

— suhailvs

o si desea guardarlo en un archivo (digamos userlogin.log) uselast > userlogin.log

— suhailvs

110

/var/log/auth.log

Eso contiene mucho más que solo inicios de sesión simples (llamadas sudo, etc.), pero los inicios de sesión también están allí. Está protegido, por lo que deberá ser root para leerlo:

sudo less /var/log/auth.log

— Oli
fuente

Comando exacto de impresión no se pudo historia entrada: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Línea de salida Ejemplo:

Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost=  user=ld

. Comando para imprimir exitosa historia entrada: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Línea de salida Ejemplo: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Probablemente muestra solo inicios de sesión después del último reinicio. Sudo está excluido porque de lo contrario nuestro propio comando también estaría en la lista.

— Lucas

38

Como Suhail mencionó en un comentario , el lastcomando mostrará una lista de los últimos usuarios registrados.

— Don Kirkby
fuente

19

Para ver el inicio de sesión más reciente para todas las cuentas en el sistema, intente lastlog. Hay algunas opciones útiles, como ver solo un usuario específico.

— El niño Karate
fuente

3

Esto me dice que nadie ha iniciado sesión (lo cual es claramente falso ya que he iniciado sesión para ejecutarlo)

— JoshB

1

Mi última salida de registro también es incorrecta: dos de mis usuarios tienen entradas (ambas incorrectas) y una "nunca ha iniciado sesión".

— pbhj

FYI: Se ve bien en Ubuntu18

— DimiDak

8

Anexando bien su pregunta y la respuesta de OLI si está en una computadora portátil , también puede verificarlo seleccionando el contenido exacto como

sudo cat /var/log/auth.log | grep "Lid opened"

o

sudo cat /var/log/auth.log | grep "Lid closed"

y si él / ella realiza algún tipo de actividad a través del permiso de sudo

sudo cat /var/log/auth.log | grep "session opened for user root"

o

sudo cat /var/log/auth.log | grep "session closed for user root"

Le dará información adicional sobre lo que desea saber sobre el usuario que inició sesión en su sistema sin su permiso :) :)

— Deepanshu Jain
fuente

1

También uso sudo grep 'login keyring' /var/log/auth.orgpara verificar el historial de inicio de sesión.

— Tao Wang