我的办公室使用的是 Ubuntu Server 12.04。我已在其中安装了 SSH 服务器,以便客户端通过 PuTTY 进行访问。
现在我需要跟踪用户的登录详细信息,例如 IP 地址、主机名和登录日期。
是否有可能追踪这些信息?如果可以,如何追踪?
答案1
您可以使用以下last
命令查看以前的登录信息 - 即:
last -adw
将生成如下行:
USERNAME pts/0 Wed Jan 29 10:18 still logged in 192.168.1.?
USERNAME pts/0 Wed Jan 29 10:06 - 10:07 (00:00) 192.168.1.?
其中,USERNAME
显示接入点、日期和时间以及 IP 地址。只要登录者没有清除这些日志,这应该可以正常工作:
/var/log/wtmp
/var/log/btmp
但他们需要 root 密码才能执行此操作。
答案2
sshd
您应该已经在日志文件甚至文件中拥有所有这些信息/var/log/syslog
。一旦您找到守护进程
填充了哪个文件,您就可以尝试通过sshd
查找日志来查看生成了哪种类型的日志,它读取配置文件/etc/ssh/sshd.conf
(不确定文件名)。
使用该命令tail -f /path/to/log/file
并尝试记录,您应该会看到大量有关登录尝试的信息。