Ubuntu 用户活动日志概览
一 核心日志与记录内容
| 日志文件或命令 | 位置 | 主要记录的用户活动 |
|---|---|---|
| /var/log/auth.log | 文件 | SSH/终端登录与登出、sudo 提权、PAM 会话开启/关闭、失败登录等认证事件 |
| /var/log/syslog | 文件 | 系统级事件与用户会话关联信息(如服务启动/崩溃、用户会话影响等),常与 auth.log 交叉分析 |
| last / lastb / lastlog | 命令(读取 /var/log/wtmp、/var/log/btmp、/var/log/lastlog) | 历史登录/注销会话、失败登录统计、各用户最近一次登录时间 |
| who / w / users | 命令(读取 /var/run/utmp) | 当前已登录用户、终端、来源与登录时间 |
| /var/log/user.log | 文件 | 用户级进程产生的日志(由 syslog 按 facility=user 写入) |
| ~/.bash_history 与 history | 用户家目录与命令 | 交互式 Shell 的命令历史(默认不含时间戳;可配置 HISTTIMEFORMAT 记录时间) |
| journalctl | systemd 日志 | 按用户会话、服务、单元过滤的日志(如登录会话对应的 systemd 日志) |
| /var/log/cron | 文件 | 计划任务执行记录(含执行身份、命令、开始/结束),反映以某用户身份运行的任务 |
| /var/log/lightdm/(或 gdm3/greeter) | 目录 | 图形登录(LightDM/GDM)会话的认证与登录事件 |
| /var/log/ufw.log | 文件 | 防火墙日志,可间接反映某用户的远程访问行为(如被拒绝的连接) |
| /var/log/apport.log | 文件 | 用户触发的程序崩溃报告(有助于定位异常退出) |
| /var/log/apt/term.log | 文件 | 用户通过 APT 执行的安装/升级/移除命令输出(反映软件变更操作) |
| 以上日志与命令覆盖了登录认证、会话、提权、命令历史、计划任务、图形会话、程序崩溃与软件变更等常见用户活动场景。 |
二 常用排查命令示例
三 日志覆盖范围与局限