Es muy frecuente que la gestión de un servidor GNU/Linux, se realice por varios usuarios. Y es muy posible que en algún momento necesites saber el historial de inicio de sesión por algunos de estos, e incluso averiguar la ip con la que conectaron contra el sistema.
En este articulo vamos a ver, como revisar el historial de acceso de sesión en nuestro sistema.
La información de inicio de sistema se registra en los los siguientes ficheros:
- /var/log/wtmp: registros de los última sesión de inicio de sesión.
- /var/run/utmp: registros de las sesiones de inicio de sesión actuales.
- /var/log/btmp: registro de los intentos de inicio de sesión incorrectos.
Ver el historial de todos los usuarios registrados:
Con el comando last podemos observar, se enumera el usuario, la dirección IP, la fecha, la hora del inicio de sesión y el tiempo que duró la sesión. pts/1
o pts/0
significa que se accedió a través de SSH.
La última línea de la salida se indica cuándo se creó el archivo de registro wtmp
. Esto es un detalle importante, porque si el archivo wtmp
se elimina, el comando last
no podrá mostrar el historial de los inicios de sesión anteriores a esa fecha.
Ver el historial de un usuario determinado:
Si tan sólo quisiéramos filtar por un usuario podemos hacerlo con el comando last nombre_de_usario.
Para verificar los intentos fallidos de inicio de sesión a nuestro sistema. Lo haremos con el comando lastb.