Användaraktivitet i Ubuntu?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010

Användaraktivitet i Ubuntu?

Hej,

Har en Ubuntu-burk som inte haft någon inloggning från start och jag undrar hur jag ska kunna få reda på när datorn använts? Dvs när datorn slagits på, när den använts, hibernerat, slagits av etc.

Var ska jag leta och efter vad?

Har kört lastlog och kollat auth.log, men eftersom ingen inloggning krävts hittar jag inget där... är det normalt eller kan filerna manipulerats?

Kollat lite i syslog men vet inte riktigt vad jag ska leta efter som definitivt är "användar-initierade handlingar".

Någon som har några konkreta tips?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av AlpinGrek:

Hej,

Har en Ubuntu-burk som inte haft någon inloggning från start och jag undrar hur jag ska kunna få reda på när datorn använts? Dvs när datorn slagits på, när den använts, hibernerat, slagits av etc.

Var ska jag leta och efter vad?

Har kört lastlog och kollat auth.log, men eftersom ingen inloggning krävts hittar jag inget där... är det normalt eller kan filerna manipulerats?

Kollat lite i syslog men vet inte riktigt vad jag ska leta efter som definitivt är "användar-initierade handlingar".

Någon som har några konkreta tips?

Du borde se i syslog när maskinen bootade.

Vad menar du med "användar-initierade handlingar"? Vill du se exakt vad användaren har gjort på datorn medan den har varit igång?

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Nov 2004

Testa `last` istället för `lastlog`, i "traditionella" system så loggas omstarter och avstängningar där `last | grep -E 'reboot|down'`. I moderna ubuntu så används väl systemd, som garanterat registerar dylikta händerser i sin speciallogg.. men det är inget jag vet något om.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010
Skrivet av BrusE:

Du borde se i syslog när maskinen bootade.

Vad menar du med "användar-initierade handlingar"? Vill du se exakt vad användaren har gjort på datorn medan den har varit igång?

Vad ska jag leta efter i loggen för att se när maskinen bootat? Kan man se om maskinen låst sig eller gått ner i viloläge?

Med "användar-initierade handlingar" menar jag(utöver typ cookies och webhistorik etc) är exempelvis en nedladdad fil, eller en resume på en torrentfil. Finns det andra exempel? Created/Access/Change Time på en fil behöver kanske inte vara en användar-initierad handling, det beror på vilken typ av fil det handlar om. Hittar en del poster med exempelvis "OrphanFiles" som är ändrade, vad betyder det?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010
Skrivet av e5150:

Testa `last` istället för `lastlog`, i "traditionella" system så loggas omstarter och avstängningar där `last | grep -E 'reboot|down'`. I moderna ubuntu så används väl systemd, som garanterat registerar dylikta händerser i sin speciallogg.. men det är inget jag vet något om.

Tack för tipset. Ska kolla upp det.

Vilka loggar menar du är specialloggar för det? Kan det vara PM-Suspend exempelvis?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010

En fundering; hittar detta i min syslog:

Jan 5 10:06:14 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1796 seconds.
Jan 5 10:37:01 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1357 seconds.
Jan 5 11:07:11 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1582 seconds.
Jan 5 11:38:16 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1485 seconds.
...osv
Jan 5 15:23:23 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1485 seconds.
Jan 6 15:23:24 min-laptop wpa_supplicant[994]: CTRL-EVENT-DISCONNECTED bssid=00:FF:CC:AA:33:44 reason=4
Jan 5 15:23:24 min-laptop kernel: [407203.620032] ieee80211 phy0: wlan0: No probe response from AP 00:FF:CC:AA:33:44 after 500ms, disconnecting.

Någon som vet vad detta betyder? Har någon använt min-laptop, som fått IP-numret 213.XXX.XX.XXX fram till kl 15:23 och sedan... vad betyder reason=4?

Trädvy Permalänk
Medlem
Plats
Stockhom
Registrerad
Jan 2008
Skrivet av AlpinGrek:

En fundering; hittar detta i min syslog:

Jan 5 10:06:14 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1796 seconds.
Jan 5 10:37:01 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1357 seconds.
Jan 5 11:07:11 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1582 seconds.
Jan 5 11:38:16 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1485 seconds.
...osv
Jan 5 15:23:23 min-laptop dhclient: bound to 213.XXX.XX.XXX -- renewal in 1485 seconds.
Jan 6 15:23:24 min-laptop wpa_supplicant[994]: CTRL-EVENT-DISCONNECTED bssid=00:FF:CC:AA:33:44 reason=4
Jan 5 15:23:24 min-laptop kernel: [407203.620032] ieee80211 phy0: wlan0: No probe response from AP 00:FF:CC:AA:33:44 after 500ms, disconnecting.

Någon som vet vad detta betyder? Har någon använt min-laptop, som fått IP-numret 213.XXX.XX.XXX fram till kl 15:23 och sedan... vad betyder reason=4?

Det ser ut som en vanlig DHCP renewal men jag är inte säker...

Edit: Stavfel.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010
Skrivet av enkoppte:

Det ser ut som en vanlig DHCP renewal men jag är inte säker...

Edit: Stavfel.

Skickades från m.sweclockers.com

Okej, betyder det att datorn används mot det trådlösa nätverket?

Såhär ser det ut i loggen när jag vet att jag inte använder datorn:

Jan 6 19:27:28 min-laptop wpa_supplicant[994]: Trying to authenticate with 00:FF:CC:AA:33:44 (SSID='wireless' freq=2437 MHz)
Jan 6 19:27:28 min-laptop kernel: [313247.124275] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 1)
Jan 6 19:27:28 min-laptop kernel: [313247.324068] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 2)
Jan 6 19:27:28 min-laptop kernel: [313247.524072] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 3)
Jan 6 19:27:29 min-laptop kernel: [313247.724040] wlan0: authentication with 00:FF:CC:AA:33:44 timed out
Jan 6 19:27:29 min-laptop NetworkManager[770]: <info> (wlan0): roamed from BSSID 00:FF:CC:AA:33:44 (wireless) to (none) ((none))
Jan 6 19:27:35 min-laptop wpa_supplicant[994]: Trying to authenticate with 00:FF:CC:AA:33:44 (SSID='wireless' freq=2437 MHz)
Jan 6 19:27:35 min-laptop kernel: [313253.952265] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 1/3)
Jan 6 19:27:35 min-laptop kernel: [313254.152034] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 2/3)
Jan 6 19:27:35 min-laptop kernel: [313254.352038] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 3/3)
Jan 6 19:27:35 min-laptop kernel: [313254.552037] wlan0: direct probe to 00:FF:CC:AA:33:44 timed out
Jan 6 19:27:42 min-laptop wpa_supplicant[994]: Trying to authenticate with 00:FF:CC:AA:33:44 (SSID='wireless' freq=2437 MHz)
Jan 6 19:27:42 min-laptop kernel: [313260.780262] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 1/3)
Jan 6 19:27:42 min-laptop kernel: [313260.980040] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 2/3)
Jan 6 19:27:42 min-laptop kernel: [313261.180038] wlan0: direct probe to 00:FF:CC:AA:33:44 (try 3/3)
Jan 6 19:27:42 min-laptop NetworkManager[770]: <info> Auto-activating connection 'wireless'.
Jan 6 19:27:42 min-laptop NetworkManager[770]: <info> Activation (wlan0) starting connection 'wireless'
Jan 6 19:27:42 min-laptop NetworkManager[770]: <info> Activation (wlan0/wireless): connection 'wireless' requires no security. No secrets needed.
Jan 6 19:27:42 min-laptop NetworkManager[770]: <info> Config: added 'ssid' value 'wireless'
Jan 6 19:27:42 min-laptop kernel: [313261.380075] wlan0: direct probe to 00:FF:CC:AA:33:44 timed out

..och så fortsätter det likadant...

Jan 6 19:27:44 min-laptop wpa_supplicant[994]: Trying to authenticate with 00:FF:CC:AA:33:44 (SSID='wireless' freq=2437 MHz)
Jan 6 19:27:44 min-laptop kernel: [313247.124275] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 1)
Jan 6 19:27:44 min-laptop kernel: [313247.324068] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 2)
Jan 6 19:27:44 min-laptop kernel: [313247.524072] wlan0: authenticate with 00:FF:CC:AA:33:44 (try 3)

Trädvy Permalänk
Medlem
Plats
Stockhom
Registrerad
Jan 2008

@AlpinGrek: Exakt, eller det är så jag tolkar det. Din laptop försöker ansluta till det trådlösa nätverket med SSID "wireless" men den misslyckas med autentiseringen.

Försöker du ansluta till ett trådlöst nätverk med laptopen?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2010
Skrivet av enkoppte:

@AlpinGrek: Exakt, eller det är så jag tolkar det. Din laptop försöker ansluta till det trådlösa nätverket med SSID "wireless" men den misslyckas med autentiseringen.

Försöker du ansluta till ett trådlöst nätverk med laptopen?

Ja, datorn ansluter till det nätverket 'wireless' som den ska, men när datorn inte används försöker den ansluta. Kan "reason=4" kan betyda att när datorn inte använts på ett tag och går ner i strömsparläge så släcks wifi-uppkopplingen?

Trädvy Permalänk
Medlem
Plats
Stockhom
Registrerad
Jan 2008
Skrivet av AlpinGrek:

Ja, datorn ansluter till det nätverket 'wireless' som den ska, men när datorn inte används försöker den ansluta. Kan "reason=4" kan betyda att när datorn inte använts på ett tag och går ner i strömsparläge så släcks wifi-uppkopplingen?

Det låter väldigt troligt!

Skickades från m.sweclockers.com