Comment voir l'historique de connexion?


105

Est-il possible de voir l'historique de connexion, je veux dire si quelqu'un a utilisé l'ordinateur en mon absence et quand il l'a utilisé.
si c'est possible, où puis-je obtenir le journal?
Si non, existe-t-il un programme qui enregistre toutes les connexions et leur heure?


25
essayer last en terminal
suhailvs

ou si vous voulez l'enregistrer dans un fichier (par exemple, userlogin.log), utilisezlast > userlogin.log
suhailvs

Réponses:


112
/var/log/auth.log

Cela contient beaucoup plus que de simples connexions (appels sudo, etc.), mais les connexions sont également présentes. C'est protégé donc vous devez être root pour le lire:

sudo less /var/log/auth.log

Commande exacte impression n'a pas de connexion historique: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie: Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost= user=ld. Commande pour imprimer l' histoire réussie de connexion: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Probablement, il ne montre que les connexions après le dernier redémarrage. Sudo est exclu car sinon notre propre commande serait aussi listée.
luke


19

Pour afficher la dernière connexion de tous les comptes du système, essayez lastlog. Il existe quelques options utiles, telles que l'affichage d'un utilisateur spécifique.


3
Cela me dit que personne ne s'est jamais connecté (ce qui est clairement faux car je suis connecté pour l'exécuter)
JoshB

1
Ma dernière sortie lastlog est également erronée - deux de mes utilisateurs ont des entrées (toutes les deux sont fausses) et l’un n’a jamais été connecté.
pbhj

Pour votre information: OK sur Ubuntu18
DimiDak

8

Bien ajouter votre question et la réponse de oli si vous êtes sur un ordinateur portable, vous pouvez également le vérifier en passant le contenu exact comme

sudo cat /var/log/auth.log | grep "Lid opened"

ou

sudo cat /var/log/auth.log | grep "Lid closed"

et s'il / elle exerce tout type d'activité avec la permission de sudo en

sudo cat /var/log/auth.log | grep "session opened for user root"

ou

sudo cat /var/log/auth.log | grep "session closed for user root"

Il vous donnera des informations supplémentaires sur ce que vous voulez savoir sur l'utilisateur connecté à votre système sans votre permission :) :)


1
J'utilise également sudo grep 'login keyring' /var/log/auth.orgpour vérifier l'historique de connexion.
Tao Wang
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.