在Ubuntu系统中,可通过以下日志文件和命令查看用户活动记录:
/var/log/auth.log:记录用户登录、注销、sudo操作等认证信息。grep "username" /var/log/auth.log(替换为具体用户名)。/var/log/wtmp:记录成功登录信息,需用last命令查看。/var/log/btmp:记录失败登录尝试,需用lastb命令查看。/var/log/syslog:包含部分用户活动相关的系统事件。grep "username" /var/log/syslog。journalctl:查看系统日志,支持按用户ID过滤(journalctl _UID=用户ID)。tail -f /var/log/auth.log:实时追踪认证日志更新。注意:部分日志文件需管理员权限查看,敏感信息建议结合sudo操作。
