O aplicativo que você está usando é bom para verificar isso. aureport
vem no pacote auditd
e não é instalado por padrão.
As colunas no relatório da seguinte forma:
date time acct host term exe success event
Mostrando no meu sistema se eu o executar sem o --success
ou --failed
ele mostrará tudo:
terrance@terrance-ubuntu:~$ sudo aureport -au -i
[sudo] password for terrance:
Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/02/2017 16:37:45 terrance ? /dev/pts/2 /usr/bin/sudo yes 90
2. 11/02/2017 16:39:14 terrance ? /dev/pts/2 /usr/bin/sudo yes 243
A coluna success
é o que mostra se meu login foi bem-sucedido ou não. Como podemos ver neste, ambas as tentativas de logar foram bem sucedidas (sim). O número na última parte de cada linha é apenas o número event
em que isso aconteceu. Esses números podem ser ignorados. É toda a informação antes disso que é importante.