如何查看 Linux PC 上的活动日志?

如何查看 Linux PC 上的活动日志?

我想尽可能地了解过去几天 PC 的使用情况。例如,谁登录了、PC 被锁定了多长时间以及 PC 上记录的任何其他用户活动信息。

我知道 last 命令可用于查找谁登录了以及登录了多长时间。可以查找任何其他信息。

答案1

last命令将显示用户登录、注销、系统重启和运行级别变化。

lastlog命令“报告所有用户的最近登录信息”。

文件/etc/syslog.conf将显示日志文件的配置方式。例如,它可能显示authauthpriv.*设施已记录到/var/log/auth.log。在其他情况下,例如 Ubuntu,请查看/etc/rsyslog.conf以及包含此信息的文件/etc/rsyslog.d

您的日志文件可能会轮换,因此除了查看诸如 之类的文件外/var/log/auth.log,您可能还需要查看其较旧的对应文件,例如/var/log/auth.log.1/var/log/auth.log.n.gz(使用zcat) 其中“n”可以是任何整数,具体取决于旋转的设置方式。

尽管用户可以操纵这些文件,但有时您可以查看诸如 的文件。如果您真的需要深入挖掘,~username/.bash_history即使是像 这样的文件也可能包含有用的信息。~username/.lesshst

答案2

这是一种有趣的方式,可以一次性查看所有活动。

egrep -r '(login|attempt|auth|success):' /var/log

您可以根据您的 Linux 系统将关键字 (login|attempt|auth|success) 更改为合适的关键字。若要添加更多关键字,请使用括号中的长管道。

答案3

检查 /var/log/* 中的系统日志消息,那里有很多关于系统上发生的事情的有用信息。

答案4

只需添加以下行/etc/rsyslog.conf

local3.*     /var/log/user-activity.log

相关内容