Как видеть журналы операций на ПК Linux?

last команда покажет пользовательские логины, выходы из системы, системные перезагрузки и изменения уровня выполнения.

lastlog управляйте, "сообщает новый вход в систему всех пользователей".

Файл /etc/syslog.conf покажет, как настроены Ваши файлы журнала. Например, это может показать это auth и authpriv.* средства зарегистрированы к /var/log/auth.log. В других случаях, таких как Ubuntu, взгляд на /etc/rsyslog.conf и файлы в /etc/rsyslog.d для этой информации.

Ваши файлы журнала будут, вероятно, повернуты, таким образом, в дополнение к рассмотрению файлов такой как /var/log/auth.log, Вы, возможно, должны посмотреть в их более старых дубликатах такой как /var/log/auth.log.1 и /var/log/auth.log.n.gz (использование zcat) где "n" мог быть любым целым числом в зависимости от того, как Ваше вращение настраивается.

Хотя файлами могут управлять пользователи, иногда можно посмотреть на такой как ~username/.bash_history. Даже файлы как ~username/.lesshst может иметь полезную информацию, если действительно необходимо вырыть глубоко.

insteresting способ видеть все действие в одном выстреле.

egrep -r '(login|attempt|auth|success):' /var/log

можно изменить ключевые слова (login|attempt|auth|success) с подходящими согласно полю Linux. для добавления большего количества использования долго передают по каналу в круглой скобке.

Проверьте сообщения системного журнала в/var/log /* существует много хорошей информации там о том, что продолжалось в Вашей системе.

Просто добавьте ниже строку в /etc/rsyslog.conf:

local3.*     /var/log/user-activity.log

Кроме того, все отлично ответы здесь, может быть полезно также проверить историю оболочки всех пользователей (если, например, администратор проверяет, не был ли какой-либо сбой вызван одним из них). Это можно проверить в таких файлах, как .bash_history / .zsh_history / .python_history с помощью команды:

sudo find / -name ".*_history" | sudo xargs tail -n 100 

Примечание: эти файлы могут быть легко изменены пользователями