我想了解过去几天PC使用的一切可能性。 就像谁login一样,电脑被locking了多长时间,以及有关PC上login的用户活动的其他信息。
我知道最后的命令可以用来找出谁login了多久。 任何其他可以被发现的信息。
last命令将显示用户login,注销,系统重新启动和运行级别更改。
文件/etc/syslog.conf将显示你的日志文件是如何configuration的。 例如,它可能会显示auth和authpriv.*工具被logging到/var/log/auth.log 。
您的日志文件可能会被轮换,所以除了查看诸如/var/log/auth.log文件之外,您可能需要查看其较早的对应文件,如/var/log/auth.log.1和/var/log/auth.log.n.gz (使用zcat )其中“n”可以是任何整数,具体取决于您的旋转设置。
虽然这些文件可以被用户操纵,但是有时候你可以看看~username/.bash_history 。 即使像~username/.lesshst这样的文件也可以提供有用的信息,如果你真的需要深入挖掘的话。
查看/ var / log / *中的系统日志消息,那里有很多有关系统上正在进行的信息。
一眼就能看到所有的活动。
egrep -r '(login|attempt|auth|success):' /var/log
你可以根据你的linux盒子来改变关键字(login | attempt | auth | success)。 添加更多使用长pipe道。