¿Cómo puedo saber quién inició sesión en un intervalo? Intenté por última vez -t, pero no era lo que estaba buscando. Quiero saber quién inició sesión entre el 11 de mayo a las 10:00:00 y el 15 de mayo a las 22:00:00, por ejemplo.
Respuesta1
registros/auditorías. Los registros son los mejores.
Por favor especifique su sistema operativo.
En Linux, puede utilizar el sistema de "auditoría" para registrar todos los inicios de sesión. Por ejemplo, esto está habilitado de forma predeterminada en Fedora. Las entradas aparecen en el diario del sistema. También hay una herramienta de búsqueda dedicada ausearch, que utiliza un archivo de registro. Supongo que el registro se archiva periódicamente (es decir, logrotate); Aparentemente, la herramienta solo busca un archivo de registro. Los inicios de sesión son probablemente el uso más obvio para esto; se menciona como el primer ejemplo en la documentación de RHEL. Dice usar ausearch --message USER_LOGIN. Los rangos de fechas también son útiles; las opciones relevantes son --starty --end.
En Debian puede instalar auditoría, pero de forma predeterminada los inicios de sesión se registran en formato /var/log/auth.log. Supongo que está implementado principalmente por PAM.
Al menos con Debian, probablemente querrá alguna forma de distinguirlo del ruido generado por los trabajos cron (cuando cron cambia a un usuario específico para el trabajo).
Como puede ver, mi primera línea es lo más específica posible, sin responder a la segunda. Recuerde que "Unix y Linux" cubre un bosque de sistemas operativos lanzados durante más de 4 décadas, por ejemplo, como en estediagrama de 33 páginas.