O comando last
mostrará logins de usuários, logouts, reinicializações do sistema e alterações de nível de execução.
O comando lastlog
"informa o login mais recente de todos os usuários".
O arquivo /etc/syslog.conf
mostrará como seus arquivos de log estão configurados. Por exemplo, pode mostrar que auth
e authpriv.*
instalações estão registradas em /var/log/auth.log
. Em outros casos, como o Ubuntu, veja /etc/rsyslog.conf
e os arquivos em /etc/rsyslog.d
para este informação.
Seus arquivos de log provavelmente serão girados, portanto, além de examinar arquivos como /var/log/auth.log
, talvez seja necessário procurar em contrapartes mais antigas, como /var/log/auth.log.1
e /var/log/auth.log.n.gz
(usando zcat
) onde" n "pode ser qualquer inteiro dependendo de como sua rotação está configurada.
Embora os arquivos possam ser manipulados pelos usuários, às vezes você pode ver alguns deles, como ~username/.bash_history
. Mesmo arquivos como ~username/.lesshst
podem ter informações úteis se você realmente precisa cavar fundo.