Como ver o histórico de login?

105

É possível ver o histórico de login, quero dizer se alguém usou o computador na minha ausência e quando ele o usou.
se for possível, onde posso obter o log?
caso contrário, existe um programa que registra todos os logins e seu tempo?

login log

— Dzero
fonte

25

tente last no terminal

— suhailvs

ou se você quiser salvá-lo em um arquivo (por exemplo, userlogin.log) use #last > userlogin.log

— suhailvs

112

/var/log/auth.log

Isso contém muito mais do que apenas logins simples (chamadas sudo, etc.), mas os logins também estão lá. Está protegido, portanto você precisará ser root para lê-lo:

sudo less /var/log/auth.log

— Oli
fonte

Comando exato para impressão falhou história login: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Linha de saída de exemplo:

Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost=  user=ld

. Comando para imprimir história login bem-sucedido: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Linha de saída de exemplo: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Provavelmente, ele mostra apenas logons após a última reinicialização. O sudo é excluído porque, caso contrário, nosso próprio comando também seria listado.

— luke

39

Como Suhail mencionou em um comentário , o lastcomando mostrará uma lista dos últimos usuários conectados.

— Don Kirkby
fonte

19

Para visualizar o logon mais recente de todas as contas no sistema, tente lastlog. Existem algumas opções úteis, como visualizar apenas um usuário específico.

— TheKarateKid
fonte

3

Isso me diz que ninguém jamais identificou (o que é claramente falso como eu estou conectado para executá-lo)

— joshb

11

Minha saída do lastlog também está errada - dois dos meus usuários têm entradas (ambas erradas) e um "nunca fez login".

— pbhj

FYI: Parece ok no Ubuntu18

— DimiDak 27/03

8

Bem, anexando sua pergunta e a resposta da oli, se você estiver no laptop , também poderá verificá-lo através do grepping do conteúdo exato, como

sudo cat /var/log/auth.log | grep "Lid opened"

ou

sudo cat /var/log/auth.log | grep "Lid closed"

e se ele / ela realiza algum tipo de atividade através da permissão sudo por

sudo cat /var/log/auth.log | grep "session opened for user root"

ou

sudo cat /var/log/auth.log | grep "session closed for user root"

Ele fornecerá informações adicionais sobre o que você deseja saber sobre o usuário logado no seu sistema sem a sua permissão :) :)

— Deepanshu Jain
fonte

11

Eu também uso sudo grep 'login keyring' /var/log/auth.orgpara verificar o histórico de login.

— Tao Wang