【Linux】ユーザーのログイン状況に関するログ

 ユーザーのログイン状況に関するログは、システム管理者が誰がいつシステムにアクセスしたかを監視するための重要な情報源です。これらのログには、ログイン試行、成功したログイン、失敗したログイン、ユーザーのログアウトなどの情報が記録されています。

/var/log/secureファイル

 /var/log/secureファイルには、システムへのログイン試行やその他の認証に関するイベントが記録されます。具体的には、SSHログイン、sudoコマンドの実行、パスワード変更などの情報が含まれます。

 /var/log/secureファイルには、authprivファシリティのすべてのメッセージが記録されます。これは、/etc/rsyslog.confファイルに以下の設定が含まれているためです。

grep secure /etc/rsyslog.confの出力例

$ grep secure /etc/rsyslog.conf
authpriv.*                                        /var/log/secure

この設定により、authprivファシリティのすべてのメッセージが/var/log/secureファイルに送られるようになっています。

/var/log/secureファイルの内容

以下は、/var/log/secureファイルに記録されるログの例です。

Jul 21 10:00:00 myhost sshd[1234]: Accepted password for user from 192.168.0.1 port 22 ssh2
Jul 21 10:01:00 myhost sudo:    user : TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/bin/ls
Jul 21 10:02:00 myhost passwd: password for user changed by root

rootユーザーに関連するログの確認

rootユーザーに関連するログを確認するには、以下のコマンドを使用します。

grep root /var/log/secure

grep root /var/log/secureコマンドの出力例

Jul 21 10:01:00 myhost sudo:    user : TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/bin/ls
Jul 21 10:02:00 myhost passwd: password for user changed by root

grep root /var/log/secureコマンドの出力内容の解説

  • Jul 21 10:01:00 myhost sudo: rootユーザーによるsudoコマンドの使用。userrootとして/bin/lsコマンドを実行した。
  • Jul 21 10:02:00 myhost passwd: rootユーザーのパスワード変更。rootによってuserのパスワードが変更された。

ログインしたユーザー情報を表示するコマンド

コマンド説明
who現在ログインしているユーザーとその情報を表示します。
w現在ログインしているユーザーとその活動状況を表示します。
lastユーザーのログインとログアウトの履歴を表示します。
lastlogすべてのユーザーの最後のログイン時刻を表示します。
ログインしたユーザー情報を表示するコマンド

whoコマンドの使用例

$ who
user     pts/0        2024-07-21 10:00 (:0)

wコマンドの使用例

$ w
 10:03:00 up 1 day,  1:00,  1 user,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
user     pts/0    :0               10:00    1.00s  0.10s  0.02s bash

lastコマンドの使用例

$ last
user     pts/0        :0               Sun Jul 21 10:00    gone - no logout

lastlogコマンドの使用例

$ lastlog
Username         Port     From             Latest
root             pts/0    :0               Sun Jul 21 10:00:00 +0000 2024

まとめ

 ユーザーのログイン状況に関するログは、システムのセキュリティ管理において非常に重要です。/var/log/secureファイルには、認証に関するイベントが記録され、whowlastlastlogなどのコマンドを使用して、ユーザーのログイン状況を詳細に確認することができます。これらのログ情報を効果的に管理することで、システムの監視とセキュリティの強化が可能となります。