Como posso saber quem estava logado em um intervalo? Tentei last -t, mas não era o que procurava. Quero saber quem estava logado entre 11 de maio às 10:00:00 e 15 de maio às 22:00:00 por exemplo.
Responder1
registros/auditorias. Os registros são os melhores.
Especifique seu sistema operacional.
No Linux, você pode usar o sistema de “auditoria” para registrar todos os logins. Por exemplo, isso está habilitado por padrão no Fedora. As entradas aparecem no diário do sistema. Há também uma ferramenta de pesquisa dedicada ausearch, que utiliza um arquivo de log. Presumo que o log seja arquivado periodicamente (ou seja, logrotate); a ferramenta aparentemente pesquisa apenas um arquivo de log. Logins são provavelmente o uso mais óbvio para isso; é mencionado como o primeiro exemplo na documentação do RHEL. Diz para usar ausearch --message USER_LOGIN. Os intervalos de datas também são úteis; as opções relevantes são --starte --end.
No Debian você pode instalar a auditoria, mas por padrão você obtém logins registrados em arquivos /var/log/auth.log. Eu acho que é implementado principalmente pelo PAM.
Pelo menos com o Debian, você provavelmente desejará distinguir de alguma forma o ruído gerado pelos cron jobs (quando o cron muda para um usuário específico para o trabalho).
Como você pode ver, minha primeira linha é tão específica quanto possível, sem responder a segunda. Lembre-se de que "Unix e Linux" abrange uma floresta de sistemas operacionais lançados ao longo de mais de 4 décadas, por exemplo, como nesteDiagrama de 33 páginas.