GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So finden Sie die letzte Anmeldung unter Linux

Wenn Sie in einem mittleren bis großen Unternehmen arbeiten, ist es sehr wahrscheinlich, dass Sie mit vielen anderen Systemadministratoren zusammenarbeiten

Während Sie Ihre Sysadmin-Aufgaben ausführen, versuchen einige Benutzer möglicherweise, sich mit Ihrem Server zu verbinden, um ihre täglichen Aufgaben auszuführen.

In einigen Fällen stellen Sie jedoch möglicherweise fest, dass sich auf Ihrem Server etwas geändert hat. Folglich fragen Sie sich, wer die Änderung vorgenommen hat .

Glücklicherweise gibt es viele Möglichkeiten, herauszufinden, wer sich zuletzt auf Ihrem Server angemeldet hat.

In diesem Tutorial lernen Sie die verschiedenen nützlichen Befehle kennen, die Sie verwenden können, um die letzten Anmeldungen auf Ihrem Computer zu überprüfen.

Finde die letzte Anmeldung mit last

Der einfachste Weg, die letzte Anmeldung auf Ihrem Linux-Computer zu finden, besteht darin, den Befehl „last“ ohne Optionen auszuführen. Mit diesem Befehl werden Ihnen alle letzten Anmeldungen angezeigt, die auf dem Computer durchgeführt wurden. 

$ last

# To check the last ten login attempts, you can pipe it with "head"

$ last | head -n 10

Wie Sie sehen können, wird die Ausgabe standardmäßig abgeschnitten:Der Benutzer „devconnected“ wird nur als „devconne“ angezeigt, wenn Sie einfach den letzten Befehl verwenden.

Wenn Sie letzte Anmeldungen mit vollständigen Benutzernamen und Hostnamen finden , müssen Sie das „-w anhängen “ oder „–fullnames “.

$ last -w

$ last --fullnames

Letzte Befehlsspalten

Wenn man sich den letzten Befehl ansieht, kann die Ausgabe etwas verwirrend sein. Es gibt viele Spalten, aber wir wissen nicht genau, wofür sie stehen.

Zunächst einmal gibt es einen Unterschied zwischen Benutzeranmeldung und Neustarts.

Wie Sie sehen können, beginnen Benutzeranmeldungen mit dem Namen des Benutzers, der sich mit dem Computer verbunden hat . Andererseits beginnen „reboot“-Protokolle offensichtlich mit dem Schlüsselwort „reboot“ .

Spalten zur Benutzeranmeldung

Für Benutzerprotokolle , die Bedeutung der verschiedenen Spalten ist die folgende:

  • Benutzername :der Benutzername, der sich mit dem Computer verbunden hat;
  • TTY :der Index des TTY, der vom Benutzer verwendet wird, um sich mit dem Computer zu verbinden. „:0“ bedeutet, dass die Verbindung lokal ist, und Sie können den Befehl „tty“ verwenden, um das vom Benutzer verwendete Gerät zu finden;
$ tty
  • Der Name des Displays Hinweis:Da X auf jeder Maschine als Anzeigeserver verwendet wird, kann es eine lokale Anzeige (:0, :1 usw.) oder eine entfernte Anzeige verwenden. Wenn Sie daran interessiert sind, grafische Anwendungen remote auszuführen, können Sie unseren Leitfaden über das X-Protokoll lesen;
  • Stunde der Anmeldung :Das Starten des Servers ist etwas ganz anderes als das Einloggen. Diese Stunde stellt die Zeit dar, zu der das Passwort tatsächlich in der Schnittstelle bereitgestellt wurde;
  • Anmeldestatus :Entweder Sie sind „noch eingeloggt“ oder „down“ mit der Dauer der Sitzung.

Im folgenden Beispiel betrug die Sitzungsdauer z. B. zwölf Minuten.

Pseudo-Neustart-Spalten

Bei jedem Neustart fügt Ihr System der aktuellen Liste der auf Ihrem Computer durchgeführten Neustarts eine neue Zeile hinzu.

Diese speziellen Zeilen, beginnend mit „reboot “, haben die folgenden Spalten:

  • Neu starten :Angabe, dass dies keine Anmeldung, sondern ein Systemneustart ist;
  • Details zum Neustart :in diesem Fall war es tatsächlich ein „Systemstart“, was bedeutet, dass das System gerade gestartet wurde;
  • Kernel-Version :Die Kernel-Version, die beim Hochfahren des Systems geladen wird. Es könnte anders sein, wenn Sie eine andere Version des Kernels auf Ihrer Boot-Partition hosten.
  • Stunde des Bootens :Die Stunde repräsentiert die Uhrzeit des Systemstarts. Es folgt entweder die Anzeige „noch läuft“ oder die Endstunde gefolgt von der Sitzungsdauer in Klammern.

Nachdem Sie nun gesehen haben, wie Sie alle letzten Anmeldungen auf Ihrem Server auflisten können, wollen wir sehen, ob Sie an schlechten Anmeldeversuchen interessiert sind.

Letzte Anmeldung nach Datum finden

In einigen Fällen interessieren Sie sich möglicherweise für Anmeldungen, die seit oder bis zu einem bestimmten Datum in der Vergangenheit oder in den letzten fünf Minuten vorgenommen wurden.

Um die letzte Anmeldung nach Datum zu finden, führen Sie den „last“-Befehl mit dem „–since“-Befehl aus und geben Sie das Datum an, für das die letzten Anmeldungen gesucht werden sollen.

In ähnlicher Weise können Sie den Befehl „–until“ verwenden, um Anmeldeversuche zu finden, die bis zu einem bestimmten Datum in der Vergangenheit unternommen wurden. 

$ last --since <date>

$ last --until <date>

Was sind also die Daten, die Sie für die Suche verwenden können?

Datumsformate sind auf der letzten Dokumentationsseite angegeben.

Nehmen wir als Beispiel an, dass Sie alle Anmeldeversuche der letzten zwei Tage finden möchten, würden Sie den folgenden Befehl ausführen

$ last --since -2days

Wenn Sie alle Anmeldeversuche der letzten fünf Tage finden möchten, führen Sie den folgenden Befehl aus

$ last --until -5days

Da ein Diagramm oft mehr hilft als Worte, finden Sie hier eine Möglichkeit, das „–seit“ zu verstehen “ und „–bis ” Optionen.

Letzte fehlerhafte Anmeldeversuche mit lastb finden

Um die letzten fehlerhaften Anmeldeversuche auf Ihrem Linux-Server zu finden, müssen Sie die „lastb“ mit Administratorrechten verwenden. 

$ sudo lastb

Wenn Sie sich nicht sicher sind, wie Sie solche Rechte überprüfen können, lesen Sie unbedingt unsere engagierten Guides .

Wie Sie sehen können, ist die Ausgabe ziemlich ähnlich der von „last ” Befehl :der versuchte Benutzername, das verwendete Gerät sowie die Zeit des Versuchs.

In diesem Fall ist die Dauer „(00:00) ” wird behoben, da ein Verbindungsversuch überhaupt keine Dauer hat.

Beachten Sie, dass die Gerätezeile „ssh:notty“ anzeigen kann, falls der Anmeldeversuch von einem SSH-Terminal aus erfolgt ist.

Inspizieren der auth.log-Datei

Alternativ können Sie den Inhalt der Datei „/var/log/auth.log“ überprüfen, um alle fehlgeschlagenen Versuche auf Ihrem Server zu sehen. 

$ tail -f -n 100 /var/log/auth.log | grep -i failed

Letzte SSH-Anmeldungen unter Linux finden

Um die letzten SSH-Anmeldungen zu finden, die auf Ihrem Linux-Rechner durchgeführt wurden, können Sie einfach den Inhalt von „/var/log/auth.log“ überprüfen und mit „grep“ weiterleiten, um SSH-Protokolle zu finden. 

$ tail -f -n 100 /var/log/auth.log | grep -i sshd

Alternativ können Sie die Protokolle des SSH-Dienstes einsehen, indem Sie die Datei „journalctl“ ausführen “ gefolgt von „-u “-Option für „Einheit “ und der Name des Dienstes .

$ sudo journalctl -r -u ssh | grep -i failed

Hinweis :an Auflistungsdiensten interessiert und deren Status auf Ihrem Server? Hier finden Sie eine Anleitung zum Auflisten Ihrer Dienste unter Linux.

Wenn Sie keine Protokolle zum SSH-Dienst sehen, hängt dies möglicherweise mit Ihrer SSH-Konfigurationsdatei zusammen, nämlich mit der Datei „PrintLastLog ”-Option.

$ cat /etc/ssh/sshd_config | grep PrintLastLog

Wenn diese Option auf Ihrem Server auf „Nein“ eingestellt ist und Sie die letzten Protokolle drucken möchten, stellen Sie sicher, dass Sie die Zeile mit dem Wert „Ja“ auskommentieren. Vergessen Sie nicht, Ihren SSH-Server danach neu zu starten.

$ sudo nano /etc/ssh/sshd_config

PrintLastLog yes

$ sudo systemctl restart ssh

$ sudo systemctl status ssh

Toll! Sie haben erfahren, wie Sie die letzten SSH-Protokolle auf Ihrem Computer finden können.

Letzte Benutzeranmeldung unter Linux auflisten

Um die letzten Anmeldezeiten für alle Benutzer auf Ihrem Linux-Rechner zu finden, können Sie den Befehl „lastlog“ ohne Optionen verwenden. Standardmäßig wird Ihnen angezeigt die Liste aller Benutzer mit ihren letzten Anmeldeversuchen.

Alternativ können Sie auch das „-u“ verwenden “-Option für „Benutzer ” und geben Sie den gesuchten Benutzer an.

$ lastlog

$ lastlog -u <user>

Wie Sie sehen können, gibt der Befehl ohne Optionen die Liste aller Konten auf Ihrem Computer zurück, sogar die Root- und Systemkonten.

Schlussfolgerung

In diesem Tutorial haben Sie gelernt, wie Sie ganz einfach die letzten Anmeldeversuche auf einem Linux-Computer finden können

Unabhängig davon, ob diese Versuche über eine Login-Shell oder eine SSH-Sitzung unternommen wurden, wissen Sie jetzt, welche Dateien Sie untersuchen und welche Tools Sie verwenden müssen, um sie abzurufen.

Denken Sie daran, dass Sie diese Dateien überprüfen, aber auch in einer Dashboard-Lösung wie Kibana darstellen können. Hier ist eine Anleitung, wie Sie das erreichen.

Wenn Sie an Linux-Systemadministration interessiert sind , wir haben ihm einen eigenen Abschnitt auf der Website gewidmet, also schauen Sie sich das unbedingt an!


Linux

  1. So verwenden Sie FIND unter Linux

  2. So finden Sie eine Datei in Linux

  3. So finden Sie eine Paketversion in Linux

  4. Linux – Wie kann ich die Befehlszeile der in den letzten 10 Sekunden ausgeführten Prozesse anzeigen?

  5. So überprüfen Sie den Linux-Anmeldeverlauf

So finden Sie eine Zeichenfolge in einer Datei unter Linux

So finden Sie die IP-Adresse unter Linux

So finden Sie die zuletzt angemeldeten Benutzer in Linux

So finden Sie den Hostnamen unter Linux

So finden Sie Dateien, die in den letzten 24 Stunden in Linux geändert wurden

So finden Sie die IP-Adresse in Linux