如何使用journalctl 获取登录尝试列表？

跑步：

journalctl -q _AUDIT_TYPE=1112 _TRANSPORT=audit

---

解释：

假设您正在运行审计子系统（除非您禁用它，否则您会这样做），这是获取此类信息的最佳方式，因为除其他外，如果您使用_TRANSPORT=audit，消息就不能像传统 syslog 套接字上的消息那样被欺骗。查看全部通过此传输发送的消息中，使用journalctl -q _TRANSPORT=audit. （-q 可以排除烦人的-- Reboot --行。）

要以详细形式查看这些内容，请执行journalctl -q _TRANSPORT=audit -o verbose。实际上，我建议您在继续进行操作时立即停止并执行此操作，因为我们要做的下一件事是过滤我们在那里看到的一些字段。这是我的系统中的记录：

_BOOT_ID=[redacted]
_MACHINE_ID=[redacted]
_HOSTNAME=[redacted]
_UID=0
_TRANSPORT=audit
SYSLOG_FACILITY=4
SYSLOG_IDENTIFIER=audit
AUDIT_FIELD_HOSTNAME=?
AUDIT_FIELD_ADDR=?
AUDIT_FIELD_RES=success
_AUDIT_LOGINUID=18281
_AUDIT_TYPE=1112
AUDIT_FIELD_OP=login
AUDIT_FIELD_ID=18281
_PID=5398
_SELINUX_CONTEXT=system_u:system_r:local_login_t:s0-s0:c0.c1023
AUDIT_FIELD_EXE=/usr/bin/login
AUDIT_FIELD_TERMINAL=tty6
_AUDIT_SESSION=541
_SOURCE_REALTIME_TIMESTAMP=1480529473269000
_AUDIT_ID=7444
MESSAGE=USER_LOGIN pid=5398 uid=0 auid=18281 ses=541 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=18281 exe="/usr/bin/login" hostname=? addr=? terminal=tty6 res=success'

底部MESSAGE是非结构化日志记录，这基本上就是您在非详细系统日志样式输出中看到的内容。我们可以grep for MESSAGE=USER_LOGIN（并立即完成），但是日志让我们可以做更多很酷的事情，所以让我们继续下去。

每个审核消息类型都有一个关联的_AUDIT_TYPE（想象一下！）。由于某种原因，这不能有效地转换为结构化输出中的文本，但1112对应于USER_LOGIN.我通过签入确认了这一点libaudit.h，其中有（带有一些上下文行）：

#define AUDIT_USER_CHAUTHTOK    1108    /* User acct password or pin changed */
#define AUDIT_USER_ERR          1109    /* User acct state error */
#define AUDIT_CRED_REFR         1110    /* User credential refreshed */
#define AUDIT_USYS_CONFIG       1111    /* User space system config change */
#define AUDIT_USER_LOGIN        1112    /* User has logged in */
#define AUDIT_USER_LOGOUT       1113    /* User has logged out */
#define AUDIT_ADD_USER          1114    /* User account added */
#define AUDIT_DEL_USER          1115    /* User account deleted */

所以，journalctl -q _AUDIT_TYPE=1112 _TRANSPORT=audit这就是你所需要的。它获取 ssh、终端和 GUI 登录信息，并记录成功和失败。请注意，它不捕捉诸如sudo或 之类的东西su——这些东西有不同的审计记录。

即使输出的“短”版本也有点冗长，因此您可能需要使用-o json并创建一个短脚本将输出解析为漂亮的格式。

journalctl -q SYSLOG_FACILITY=10 SYSLOG_FACILITY=4

这告诉日志过滤掉来自两个不同设施的消息。 10 号为authpriv，4 号为auth。 ssh 以及许多其他登录敏感应用程序使用这两个工具来登录。

您想要登录或尝试登录吗？

这显示了登录信息，但是不尝试（以今天为例）并在 Fedora 22 中运行：

$ journalctl -u 'systemd-logind'  --since "today" --until "tomorrow"

这是示例输出： -- Logs begin at Mon 2014-09-01 03:10:03 BST, end at Fri 2015-11-20 09:55:02 GMT. -- Nov 20 08:47:15 meow systemd[1]: Starting Login Service... Nov 20 08:47:15 meow systemd-logind[699]: New seat seat0. Nov 20 08:47:15 meow systemd-logind[699]: Watching system buttons on /dev/input/event2 (Power Button) Nov 20 08:47:15 meow systemd-logind[699]: Watching system buttons on /dev/input/event0 (Power Button) Nov 20 08:47:15 meow systemd-logind[699]: Watching system buttons on /dev/input/event1 (Lid Switch) Nov 20 08:47:15 meow systemd[1]: Started Login Service. Nov 20 08:47:37 meow systemd-logind[699]: New session c1 of user gdm. Nov 20 08:47:46 meow systemd-logind[699]: New session c2 of user gdm. Nov 20 08:47:46 meow systemd-logind[699]: Removed session c1. Nov 20 08:47:46 meow systemd-logind[699]: Removed session c2. Nov 20 08:47:46 meow systemd-logind[699]: New session c3 of user gdm. Nov 20 08:51:22 meow systemd-logind[699]: New session 1 of user david1.

它混杂着其他信息，例如盖子和电源按钮，因此您可以 grep 以session获得更精确的信息： $ journalctl -u 'systemd-logind' --since "today" --until "tomorrow" | grep session Nov 20 08:47:37 meow systemd-logind[699]: New session c1 of user gdm. Nov 20 08:47:46 meow systemd-logind[699]: New session c2 of user gdm. Nov 20 08:47:46 meow systemd-logind[699]: Removed session c1. Nov 20 08:47:46 meow systemd-logind[699]: Removed session c2. Nov 20 08:47:46 meow systemd-logind[699]: New session c3 of user gdm. Nov 20 08:51:22 meow systemd-logind[699]: New session 1 of user david1.