所有用户的登录日志

Question 1

不是一个单身的log，但成功的登录记录在中/var/log/wtmp，失败的登录记录在中/var/log/btmp。这些是二进制文件，但可以通过last和lastb命令读取。来自man last：

DESCRIPTION
       last  searches  back through the /var/log/wtmp file (or the file desig‐
       nated by the -f option) and displays a list of all users logged in (and
       out)  since  that  file was created.

和

       lastb is the same as last, except that by default it shows a log of the
       /var/log/btmp file, which contains all the bad login attempts.

请注意，出于安全原因，对 (失败登录) 文件的访问btmp受到限制：虽然这两个文件都没有记录密码字符串，但登录失败的一个常见原因是用户错误地将密码输入到登录字段中。因此，sudo在运行时需要lastb。

还要注意，文件是轮换的 - 您可能希望回顾早期的日志，例如

sudo lastb -f /var/log/btmp.1

Answer

不是一个单身的log，但成功的登录记录在中/var/log/wtmp，失败的登录记录在中/var/log/btmp。这些是二进制文件，但可以通过last和lastb命令读取。来自man last：

DESCRIPTION
       last  searches  back through the /var/log/wtmp file (or the file desig‐
       nated by the -f option) and displays a list of all users logged in (and
       out)  since  that  file was created.

和

       lastb is the same as last, except that by default it shows a log of the
       /var/log/btmp file, which contains all the bad login attempts.

请注意，出于安全原因，对 (失败登录) 文件的访问btmp受到限制：虽然这两个文件都没有记录密码字符串，但登录失败的一个常见原因是用户错误地将密码输入到登录字段中。因此，sudo在运行时需要lastb。

还要注意，文件是轮换的 - 您可能希望回顾早期的日志，例如

sudo lastb -f /var/log/btmp.1

Question 2

有一个名为“audit”的软件包。你可以使用以下命令安装它：

sudo apt install auditd

然后您需要启动并启用它在启动时启动：

sudo systemctl start audit
sudo systemctl enable audit

所有登录尝试（无论成功与否）都将记录到 /var/log/auth.log（ssh 登录也已记录在那里）。此外，该软件包还具有报告功能：

成功尝试总结：

aureport -l --success --summary -i | less

失败尝试报告：

aureport -au -i --failed | less

您可以在上面的命令中将“--failed”替换为“--success”或反之亦然。

Answer