在Debian系统中,可以通过查看系统日志文件来查看用户活动记录。以下是一些常用的方法:
last 命令last 命令可以显示最近登录系统的用户列表及其活动记录。
last
这个命令会显示用户的登录时间、退出时间、登录地点等信息。
/var/log/auth.log/var/log/auth.log 文件记录了所有与认证相关的事件,包括用户登录、登出、密码更改等。
sudo cat /var/log/auth.log | grep "user"
这个命令会显示所有包含 “user” 字样的日志条目,你可以根据需要进一步筛选。
journalctl 命令如果你使用的是 systemd,可以使用 journalctl 命令来查看系统日志。
sudo journalctl -u sshd
这个命令会显示与 SSH 服务相关的所有日志条目。你可以根据需要更改服务名称来查看其他服务的日志。
/var/log/syslog/var/log/syslog 文件记录了系统的各种事件,包括用户活动。
sudo cat /var/log/syslog | grep "user"
这个命令会显示所有包含 “user” 字样的日志条目。
ausearch 命令(适用于 SELinux)如果你启用了 SELinux,可以使用 ausearch 命令来搜索特定的安全事件。
sudo ausearch -m avc -ts recent
这个命令会显示最近的 AVC(Access Vector Cache)拒绝事件。
grep 或其他工具进行筛选。通过这些方法,你可以有效地查看和分析 Debian 系统中的用户活动记录。
