Linux では、誰がどのようにシステムにアクセスしているかを追跡することは、セキュリティとトラブルシューティングのために極めて重要です。このプロセスは認証ロギングによって管理され、ユーザーログインや使用された方法など、認証に関連するすべてのイベントが記録されます。
auth.log ファイル
Ubuntu のような Debian ベースのシステムでは、このアクティビティを追跡するための主要なファイルは/var/log/auth.logです。このログファイルには、成功したログイン試行と失敗したログイン試行、およびトリガーされた認証メカニズムを含むシステム認証情報が含まれています。このファイルを確認することは、ログインの問題を診断したり、セキュリティインシデントを調査したりするための重要なステップです。
auth.logファイルのサンプルスニペットを以下に示します。
Jan 31 10:37:50 icebox pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)ログエントリの理解
ログの各行は貴重な詳細情報を提供します。上記の例では、次のようになります。
Jan 31 10:37:50: イベントのタイムスタンプ。icebox: イベントが発生したマシンのホスト名。pkexec: イベントを開始したプログラム。pam_unix(polkit-1:session): 使用された認証モジュールとサービス。session opened for user root by (uid=1000): 実行されたアクション—UID が1000のユーザーによってrootユーザーのセッションが開かれました。
代替ログファイル
認証ログの場所は Linux ディストリビューションによって異なる場合があることに注意することが重要です。たとえば、CentOS や Fedora などの Red Hat ベースのシステムでは、これらのイベントは通常/var/log/auth.logの代わりに/var/log/secureに記録されます。