Debian日志中如何查找用户活动记录

在Debian系统中，可通过以下方式查找用户活动记录：

1. 查看认证日志
   • /var/log/auth.log：记录登录、sudo操作等认证信息，用grep 'username' /var/log/auth.log过滤特定用户。
2. 使用journalctl
   • journalctl _UID=username：按用户ID查看日志。
   • journalctl -u sshd.service：查看SSH服务相关日志（含用户登录记录）。
3. 查看历史登录记录
   • last：显示用户登录/登出历史。
   • lastb：显示登录失败记录。
4. 通用日志文件
   • /var/log/syslog：包含系统级用户活动（如服务启动/停止）。
   • 需root权限，可使用sudo查看。