Comment voir l'historique de connexion?

105

Est-il possible de voir l'historique de connexion, je veux dire si quelqu'un a utilisé l'ordinateur en mon absence et quand il l'a utilisé.
si c'est possible, où puis-je obtenir le journal?
Si non, existe-t-il un programme qui enregistre toutes les connexions et leur heure?

login log

— Dzero
source

25

essayer last en terminal

— suhailvs

ou si vous voulez l'enregistrer dans un fichier (par exemple, userlogin.log), utilisezlast > userlogin.log

— suhailvs

112

/var/log/auth.log

Cela contient beaucoup plus que de simples connexions (appels sudo, etc.), mais les connexions sont également présentes. C'est protégé donc vous devez être root pour le lire:

sudo less /var/log/auth.log

— Oli
source

Commande exacte impression n'a pas de connexion historique: sudo grep 'authentication failure' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie:

Feb 19 14:35:02 comp-name-1 compiz: pam_unix(unity:auth): authentication failure; logname= uid=1001 euid=1001 tty= ruser= rhost=  user=ld

. Commande pour imprimer l' histoire réussie de connexion: sudo grep 'login keyring' /var/log/auth.log | grep -v "sudo". Exemple ligne de sortie: Feb 18 07:17:58 comp-name-1 compiz: gkr-pam: unlocked login keyring. Probablement, il ne montre que les connexions après le dernier redémarrage. Sudo est exclu car sinon notre propre commande serait aussi listée.

— luke

39

Comme Suhail l'a mentionné dans un commentaire , la lastcommande affiche une liste des derniers utilisateurs connectés.

— Don Kirkby
source

19

Pour afficher la dernière connexion de tous les comptes du système, essayez lastlog. Il existe quelques options utiles, telles que l'affichage d'un utilisateur spécifique.

— Le Karaté Kid
source

3

Cela me dit que personne ne s'est jamais connecté (ce qui est clairement faux car je suis connecté pour l'exécuter)

— JoshB

1

Ma dernière sortie lastlog est également erronée - deux de mes utilisateurs ont des entrées (toutes les deux sont fausses) et l’un n’a jamais été connecté.

— pbhj

Pour votre information: OK sur Ubuntu18

— DimiDak

8

Bien ajouter votre question et la réponse de oli si vous êtes sur un ordinateur portable, vous pouvez également le vérifier en passant le contenu exact comme

sudo cat /var/log/auth.log | grep "Lid opened"

ou

sudo cat /var/log/auth.log | grep "Lid closed"

et s'il / elle exerce tout type d'activité avec la permission de sudo en

sudo cat /var/log/auth.log | grep "session opened for user root"

ou

sudo cat /var/log/auth.log | grep "session closed for user root"

Il vous donnera des informations supplémentaires sur ce que vous voulez savoir sur l'utilisateur connecté à votre système sans votre permission :) :)

— Deepanshu Jain
source

1

J'utilise également sudo grep 'login keyring' /var/log/auth.orgpour vérifier l'historique de connexion.

— Tao Wang