Como ver os eventos de login bem-sucedidos e malsucedidos no Ubuntu 14.04.5?

O aplicativo que você está usando é bom para verificar isso. aureport vem no pacote auditd e não é instalado por padrão.

As colunas no relatório da seguinte forma:

date time acct host term exe success event

Mostrando no meu sistema se eu o executar sem o --success ou --failed ele mostrará tudo:

terrance@terrance-ubuntu:~$ sudo aureport -au -i
[sudo] password for terrance:           

Authentication Report
============================================
# date time acct host term exe success event
============================================
1. 11/02/2017 16:37:45 terrance ? /dev/pts/2 /usr/bin/sudo yes 90
2. 11/02/2017 16:39:14 terrance ? /dev/pts/2 /usr/bin/sudo yes 243

A coluna success é o que mostra se meu login foi bem-sucedido ou não. Como podemos ver neste, ambas as tentativas de logar foram bem sucedidas (sim). O número na última parte de cada linha é apenas o número event em que isso aconteceu. Esses números podem ser ignorados. É toda a informação antes disso que é importante.

Como sugerido por @MichaelBay, estou repassando isso como uma resposta. Veja os comentários no post original para a conversa completa.

Sugiro uma modificação na solução proposta por @Terrance. Primeiro, tentativas falhas não usam "falha"; eles usam "falha". Segundo, usar "sessão aberta" retornará mais do que apenas sessões de usuário.

Se você usar cat /var/log/auth.log | grep lightdm:auth , obterá tentativas bem-sucedidas e com falha. Isso pressupõe que você não está interessado em logins ssh / tty. Para obter somente os bem-sucedidos, cat /var/log/auth.log | grep "lightdm:auth): r" . Apenas para os com falha, cat /var/log/auth.log | grep "lightdm:auth): a" .