Каковы команды для наблюдения Успешных и Неудачных событий входа в систему в Ubuntu 14.04.5?
Я попробовал aureport -au -i --success
и aureport -au -i --failed
, но я не знаю что код 133, 129 и т.д. средний там?
Приложение, которое Вы используете, хорошо для проверки их. aureport
входит auditd
пакет и не установлен по умолчанию.
Столбцы в отчете как следующим образом:
date time acct host term exe success event
Показ в моей системе, если я выполняю его без --success
или --failed
это покажет все:
terrance@terrance-ubuntu:~$ sudo aureport -au -i
[sudo] password for terrance:
Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/02/2017 16:37:45 terrance ? /dev/pts/2 /usr/bin/sudo yes 90
2. 11/02/2017 16:39:14 terrance ? /dev/pts/2 /usr/bin/sudo yes 243
success
столбец - то, какие шоу, если мой вход в систему был успешен или нет. Как мы видим на этом, обе попытки входа в систему были успешны (да). Число на последней части каждой строки просто event
число, в котором это произошло. Эти числа могут быть проигнорированы. Именно вся информация перед ним важна.
Как предложено @MichaelBay, я повторно отправляю это как ответ. См. комментарии к исходному сообщению для полного разговора.
Я предлагаю модификацию решению, предложенному @Terrance. Во-первых, неудачные попытки не используют "отказавший"; они используют "отказ". Во-вторых, использование "сессии, открытой", возвратит больше, чем просто сеансы пользователя.
Если Вы используете cat /var/log/auth.log | grep lightdm:auth
, Вы получите и успешные и неудачные попытки. Это предполагает, что Вы не интересуетесь логинами ssh/tty. Получить успешные только, cat /var/log/auth.log | grep "lightdm:auth): r"
. Для неудавшихся только, cat /var/log/auth.log | grep "lightdm:auth): a"
.