誰かがパテを介してコンピューターにログオンしたかどうかを確認するにはどうすればよいですか?


26

Windowsユーザーが自分のパスワードを使用してコンピューターにログオンしたと思われます。それでは、コンピューターにログインした痕跡を見ることができるのでしょうか?


その人が(たとえばsudoを介して)システムへのルートアクセス権を持っていた場合、ログを改ざんしていないことを事実上確認できません。
レオラム

回答:


28

方法1:

いつでもユーザーのログイン履歴を取得する

lastコマンドは、特定のユーザー名のログイン履歴を提供します。このコマンドに引数を指定しない場合、すべてのユーザーのログイン履歴がリストされます。デフォルトでは、この情報は/var/log/wtmpファイルから読み取られます。このコマンドの出力には、次の列が含まれます。

  • ユーザー名
  • Ttyデバイス番号
  • ログイン日時
  • ログアウト時間
  • 総労働時間

コマンド: $last jason

jason   pts/0        dev-db-server   Fri Mar 27 22:57   still logged in
jason   pts/0        dev-db-server   Fri Mar 27 22:09 - 22:54  (00:45)
jason   pts/0        dev-db-server   Wed Mar 25 19:58 - 22:26  (02:28)
jason   pts/1        dev-db-server   Mon Mar 16 20:10 - 21:44  (01:33)
jason   pts/0        192.168.201.11  Fri Mar 13 08:35 - 16:46  (08:11)
jason   pts/1        192.168.201.12  Thu Mar 12 09:03 - 09:19  (00:15)
jason   pts/0        dev-db-server   Wed Mar 11 20:11 - 20:50  (00:39

方法2:

lastlogLinuxでcommand コマンドを使用することもできます。ユーザーログインのログを調べるときに、日付の範囲をより詳細に制御できます。

lastlogのマニュアルページ:

lastlog - reports the most recent login of all users or of a given user

例:過去100日間にシステムにログインしたユーザーを見つけるため。

$ lastlog -b 0 -t 100
Username         Port     From             Latest
sam              pts/0    pegasus          Wed Jan  8 20:32:25 -0500     2014
joe              pts/0    192.168.1.105    Thu Dec 12 12:47:11 -0500 2013

これは、これらのユーザーが最後にこのシステムにログインしたことを示しています。時間の範囲は過去100日間を示しています。今日前(-b 0)および100日前(-t 100)。

また、範囲を省略して、これまでにログインしたすべてのユーザーと最後にログインしたユーザーを表示することで、すべてのユーザーを表示することもできます。


4
彼のコンピューターにログインした後、どうすればトレースを削除できますか?:)
カツ

sudo access:を使用して、このようなファイルをオーバーライドしてください>/var/log/wtmp。これにより、最後のログ情報がすべて削除されます。
スヌープ

wtmpの良い点は、スパースファイルであることです。レコードを削除すると、/ tell /できます。
ジョシュア

8

を使用lastして、最後のログインを表示できます。認証固有のアクションのログファイルもあります/var/log/auth.log

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.