Quero descobrir todo o possível sobre como o PC foi usado nos últimos dias. Como quem efetuou login, por quanto tempo o PC ficou bloqueado e qualquer outra informação sobre a atividade do usuário registrada no PC.
Eu sei que o último comando pode ser usado para descobrir quem estava conectado e por quanto tempo. Qualquer outra informação que possa ser encontrada.
Respostas:
O lastcomando mostrará logins de usuários, logouts, reinicializações do sistema e alterações de nível de execução.
O lastlogcomando "relata o login mais recente de todos os usuários".
O arquivo /etc/syslog.confmostrará como seus arquivos de log estão configurados. Por exemplo, pode mostrar que authe as authpriv.*instalações estão conectadas /var/log/auth.log. Em outros casos, como o Ubuntu, consulte /etc/rsyslog.confe os arquivos /etc/rsyslog.dpara obter essas informações.
Seus arquivos de log provavelmente serão rotacionados; portanto, além de examinar arquivos como /var/log/auth.log, talvez seja necessário procurar nos correspondentes mais antigos, como /var/log/auth.log.1e /var/log/auth.log.n.gz(usando zcat) onde "n" pode ser um número inteiro, dependendo de como sua rotação está configurada.
Embora os arquivos possam ser manipulados pelos usuários, às vezes você pode ver aqueles como ~username/.bash_history. Mesmo arquivos como esse ~username/.lesshstpodem ter informações úteis se você realmente precisar se aprofundar.
uma maneira interessante de ver todas as atividades de uma só vez.
egrep -r '(login|attempt|auth|success):' /var/log
você pode alterar palavras-chave (login | tentativa | autenticação | sucesso) por palavras-chave adequadas, de acordo com a sua caixa Linux. para adicionar mais, use tubo longo em parênteses.
Basta adicionar a linha abaixo em /etc/rsyslog.conf:
local3.* /var/log/user-activity.log
zgrep -e '(login|attempt|auth|success):' /var/log/*para lidar com arquivos compactados com gzip.