O last
comando mostrará logins de usuários, logouts, reinicializações do sistema e alterações de nível de execução.
O lastlog
comando "relata o login mais recente de todos os usuários".
O arquivo /etc/syslog.conf
mostrará como seus arquivos de log estão configurados. Por exemplo, pode mostrar que auth
e as authpriv.*
instalações estão conectadas /var/log/auth.log
. Em outros casos, como o Ubuntu, consulte /etc/rsyslog.conf
e os arquivos /etc/rsyslog.d
para obter essas informações.
Seus arquivos de log provavelmente serão rotacionados; portanto, além de examinar arquivos como /var/log/auth.log
, talvez seja necessário procurar nos correspondentes mais antigos, como /var/log/auth.log.1
e /var/log/auth.log.n.gz
(usando zcat
) onde "n" pode ser um número inteiro, dependendo de como sua rotação está configurada.
Embora os arquivos possam ser manipulados pelos usuários, às vezes você pode ver aqueles como ~username/.bash_history
. Mesmo arquivos como esse ~username/.lesshst
podem ter informações úteis se você realmente precisar se aprofundar.
zgrep -e '(login|attempt|auth|success):' /var/log/*
para lidar com arquivos compactados com gzip.