我想了解如何提取在一段时间内向 Unix 系统添加了某些权限的用户列表。
现在,我知道一种方法是检查特定用户的主目录的创建,但我知道可以使用特定的已存在目录作为其主目录来创建用户。在这种情况下,我们可能无法将用户创建的确切时间拉到系统中。
答案1
您可以使用以下方式awk过滤掉新用户:-/var/log/secure
awk '/new\ user/ {gsub(/,|name=/,"",$8); print $1, $2, $3, $8}' /var/log/secure
笔记:Debian 系统(我相信)使用/var/log/auth.log它来代替。