- Watch and history logging the Login and Logout events of users in Linux
- 1 Answer 1
- Основные log файлы в Ubuntu — загрузка, авторизация, ошибки и др.
- Основные log файлы Ubuntu
- Лог загрузки
- Логи авторизации, в том числе ssh
- Логи ошибок в Ubuntu
- Cron logs
- Лог действий пользователя
- Один отзыв для “ Основные log файлы в Ubuntu — загрузка, авторизация, ошибки и др. ”
- Добавить комментарий Отменить ответ
- Свежие записи
- Свежие комментарии
Watch and history logging the Login and Logout events of users in Linux
I would like to maintains login and logout history of users in Linux. That is, let me know if relevant system calls are used for login and logout events so that I can do it by system call hooking. Also, if there is another way that my proprietary code(process or thread) can receive events of login and logout. In addition, if there is already login/out history maintenance mechanism in Linux, please let me know where I can get the detail information. Thank you. Happy
Searching login history for particular users might help in part or in suplement to another method: serverfault.com/questions/305738/how-do-i-extract-login-history
1 Answer 1
If the kernel’s audit subsystem is enabled, you can enable the pam_loginuid.so PAM module, which will create a new «audit session» for each login (by writing to /proc/self/loginuid). This will be logged by auditd or systemd-journald.
But besides that there aren’t any «login» system calls. Almost everything is done in user space (and a bit scattered around), except for the final credential switching (which is however also frequently done by daemons internally). There is no single «user has logged in» event, at least none that would be consistent across all Linux distributions.
However, all the involved components do already log heaps of information. For example, you can find a session log in /var/log/wtmp (read with the commands who or last ), and you can find several messages regarding each login in /var/log/secure or /var/log/auth.log or the systemd journal:
sshd[3037]: Authorized to grawity, krb5 principal grawity@NULLROUTE.EU.ORG (krb5_kuserok) sshd[3037]: Accepted gssapi-with-mic for grawity from 2a00:1a28:1157:143::2 port 55350 ssh2 kernel: audit: type=1006 audit(1441862594.054:16701): pid=3037 uid=0 old-auid=4294967295 auid=1000 old-ses=4294967295 ses=14576 res=1 sshd[3037]: pam_unix(sshd:session): session opened for user grawity by (uid=0) systemd-logind[1531]: New session 14576 of user grawity.
For monitoring this within your own program, there are several choices:
- If the target machines run systemd, you can monitor the D-Bus signals sent by systemd-logind ( SessionNew and SessionRemoved ). ConsoleKit has a similar interface.
- You can implement your own PAM module which sends notifications over IPC. It would be similar to the «session» stage of pam_unix (which currently just prints the above message to syslog).
- You can inotify-watch the «utmp» or «wtmp» files (the former at (/var)/run/utmp on Linux, the latter at /var/log/wtmp ). Most login sessions are recorded there for viewing with who or w . (utmp holds the current state, whereas wtmp is an actual log.)
- You can use auditd, which will log both the kernel messages from pam_loginuid as well as various userspace messages from daemons.
Don’t forget to distinguish between «interactive» logins (gdm, sshd, login), «service» logins (imap, ftp), and «batch» sessions (cron, systemd-user).
Основные log файлы в Ubuntu — загрузка, авторизация, ошибки и др.
Приветствую читателей своего сайта. Сегодня я всесторонне рассмотрю тему тему логов в Ubuntu — ошибки, загрузка, системные логи, cron и остальное. Постараюсь дать обзорную информацию по основным моментам в этой теме. Материал в основном рассчитан на новичков, но возможно восполнит пробелы и специалистов.
Основные log файлы Ubuntu
Традиционно логи в Linux хранятся в директории /var/log . Вот описание стандартных лог файлов Ubuntu, которые там присутствуют. Кстати, если вы только планируете устанавливать ubuntu, то можете воспользоваться моей подробной статьей на этот счет — установка ubuntu server. Так же вам может быть интересен мой обзор и сравнение сервера убунту с другими linux системами — Ubuntu Server — обзор для начинающих, сравнение, отзывы.
- syslog или messages. Последнего чаще всего нет и вместо него только syslog. Это традиционные глобальные системные журналы операционной системы linux. Сюда пишутся события загрузки, ядра системы, системы инициализации systemd и т.д.
- auth.log — лог авторизации и аутентификации в системе.
- dmesg — в этом логе хранится информация о загрузке ядра и драйверов оборудования.
- alternatives.log — лог файл программы update-alternatives. Не знаю, за какие такие заслуги ей выделили отдельный лог файл, а cron, к примеру, нет.
- kern.log — лог сообщений ядра ubuntu, да и любой другой linux системы.
- maillog — сообщения почтовой системы. Обычно postfix или exim. Если на сервере ubuntu они не установлены, то и почтового лога не будет.
- dpkg.log — логирование работы пакетных менеджеров ubuntu. Обычно это apt или apt-get.
- lastlog и wtmp — информация о прошлых авторизациях пользователей.
Лог загрузки
Начнем с самого начала. В момент загрузки системы записывается вся основная информация, имеющая к ней отношение. Если у вас будут какие-то ошибки во время старта сервера, вы сможете их увидеть в этом логе. Посмотреть лог загрузки Ubuntu можно следующим образом.
У вас получится очень длинный вывод всего того, что происходило с системой на старте. Если ищите что-то конкретное, то можете сделать фильтрацию вывода с помощью grep. Допустим, вам надо узнать информацию только о диске.
Вы увидите лог загрузки системы ubuntu, содержащий информацию только о диске sda. Аналогичным образом можно фильтровать вывод по другим темам. Например, посмотреть все ошибки, которые были во время загрузки.
И так далее. Информация, которую выводит команда dmesg, хранится в log файле /var/log/dmesg .
Логи авторизации, в том числе ssh
Для того, чтобы узнать, кто и когда проходил авторизацию на сервере ubuntu, можно воспользоваться логами из файла /var/log/auth.log . Авторизация по ssh там будет выглядеть следующим образом.
sshd[2774]: Accepted publickey for root from 21.17.214.129 port 2673 ssh2: RSA SHA256:MCDja9Ve7rYZCzeVGpYXpqRxfAanWwVkcd+lU3GS sshd[2774]: pam_unix(sshd:session): session opened for user root by (uid=0) systemd-logind[628]: New session 6 of user root.
Здесь мы видим ip адрес, с которого произошло подключение и слепок сертификата, так как аутентификация была произведена с его помощью. Если хотите повысить уровень логирования подключений по ssh и получать больше информации, то можете отредактировать конфигурационный файл sshd — /etc/ssh/sshd_config , добавив туда следующий параметр.
Не забудьте перезапустить службу sshd для принятия изменений:
sudo systemctl restart sshd
После этого логирование подключений по ssh будет более подробное.
Лог локального входа в ubuntu тоже хранится в файле auth.log . Информация о подключении через консоль выглядит следующим образом.
login[680]: pam_unix(login:session): session opened for user root by LOGIN(uid=0) systemd-logind[628]: New session 9 of user root. login[3094]: ROOT LOGIN on '/dev/tty1'
Устройство /dev/tty1 говорит о том, что вход локальный.
Вы можете быстро посмотреть информацию о последних входах в систему с помощью команды last. Эта информация хранится в бинарном логе /var/log/lastlog .
Примерно то же самое можно увидеть с помощью utmpdump.
Логи ошибок в Ubuntu
Рассмотрим теперь вопрос с расположением лога ошибок в Ubuntu. Как такового отдельного error log в традиционных linux системах нет. И Убунта тут не исключение. Ошибки придется искать по системным и программным логам выборкой ключевых слов. Обычно используют следующие фразы:
Например, посмотрим в логе загрузки dmesg все сообщения уровня предупреждений (warn).
А теперь проверим ошибки в системном логе.
sudo cat /var/log/syslog | grep error
Видим некоторые ошибки в службе systemd-resolved.
Cron logs
Часто хочется проверить лог запуска периодических заданий cron. В Ubuntu, как мне кажется, сделали не удобно. По умолчанию, cron logs не выделены в отдельный файл. Искать их стоит в общем системном логе syslog. Например, в Centos существует отдельный лог-файл /var/log/cron, где собрана вся информация о запущенных заданиях. Предлагаю сделать так же в Ubuntu.
Для этого открываем конфигурационный файл /etc/rsyslog.d/50-default.conf и добавляем туда следующую информацию.
По умолчанию, она присутствует в конфиге, но закомментирована. Вам нужно убрать # в начале строки, чтобы раскомментировать ее. Так же я рекомендую сделать так, чтобы эти логи не дублировались в общий системный лог. Для этого немного измените следующую строку.
*.*;auth,authpriv.none,cron.none -/var/log/syslog
Я добавил в нее cron.none, чтобы логи cron не писались больше в системный лог syslog. После этого перезапустите службы rsyslog и cron и проверяйте изменения.
sudo systemctl restart rsyslog sudo systemctl restart cron
Теперь у нас все логи Cron в Ubuntu будут в отдельном файле.
Лог действий пользователя
Мне часто задают вопросы, как посмотреть лог действий пользователя в системе или как узнать, какие программы он запускал. По умолчанию, такие действия не логируются в ubuntu. Для этого нужно устанавливать какое-то дополнительное программное обеспечение. Я даже не знаю, кто умеет это делать. Обычно если надо фиксировать действия пользователя, включается лог работы sudo.
Для того, чтобы включить логирование действий пользователя через sudo, редактируем файл /etc/sudoers . Добавляем туда строку.
Defaults logfile=/var/log/sudo.log
Теперь выполните какую-нибудь команду через sudo.
Nov 25 23:10:36 : root : TTY=pts/3 ; PWD=/root ; USER=root ; COMMAND=/usr/bin/cat /var/log/cron.log
Выполненная команда пользователя сохранена в логе sudo.log. Теперь никто не сможет выполнить незаметно административные действия на сервере. Конечно, человек с полными правами сможет изменить любой лог файл, удалив свои действия при желании. Для этого важные логи нужно отправлять куда-то в другое место, но это уже тема отдельной статьи.
На сегодня по логам в Ubuntu у меня все. Желаю вам логов без ошибок и вечного аптайма (шутка, надо ставить обновы и перезагружаться).
Один отзыв для “ Основные log файлы в Ubuntu — загрузка, авторизация, ошибки и др. ”
Подскажите, где находится лог установки системы, хочется его проанализировать после первой загрузки новой системы?
Добавить комментарий Отменить ответ
Свежие записи
Свежие комментарии
- в к записи Как установить и запустить Ubuntu WSL под Windows 10
- Николай к записи Как установить, изменить время и часовой пояс в Ubuntu
- MrToad к записи Установка и настройка KVM в Ubuntu
- MrToad к записи Установка и настройка KVM в Ubuntu
- Александр к записи Как установить, изменить время и часовой пояс в Ubuntu