Информация о том, кто входил (залогинивался) или пытался войти в систему, хранится в лог файлах.
Для этого используется три лог-файла:
Где хранятся логи входа в систему.
/var/log/btmp — неудачные попытки входа.
/var/run/utmp — кто в данный момент залогинен (текущие сессии).
/var/log/wtmp — список всех сессий входа в систему.
Для их просмотра используется команда last.
Команда last по умолчанию выводит информацию из файла /var/log/wtmp.
Чтобы вывести информацию из другого файла, используется опция -f ИмяФайла
last -f /var/log/btmp
last -f /var/run/utmp
last -f /var/log/wtmp
Просмотр истории входа для определенного пользователя
Чтобы показать информацию о сессиях определенного пользователя, то для команды last необходимо указать имя этого пользователя:
last имя_пользователя
Например:
last Admin