Wie sehe ich alle meine fehlgeschlagenen Anmeldeversuche (macOS High Sierra)

Folgende Befehle habe ich probiert:

syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who

Dank Scot funktioniert folgender Befehl:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d

Das Problem dabei ist, dass es mir nicht den Benutzernamen des Kontos gibt, auf das zugegriffen werden soll.

Kennt jemand irgendwelche Bash/Python-Programme oder Terminal-Befehle, die mir meine fehlgeschlagenen Anmeldeversuche (grafische Anmeldung/ssh) mitteilen?

Weitere Informationen finden Sie hier

Antworten (3)

Ich wollte den Benutzernamen der fehlgeschlagenen und erfolgreichen Anmeldeversuche auf meinem Mac High Sierra sehen und stellte schließlich eine weitere Frage zu SE. Später fand ich die Antwort und aktualisierte diesen Beitrag.

Wenn Sie immer noch nach einer Möglichkeit suchen, Benutzernamen in Protokollen anzuzeigen, müssen Sie den „privaten“ Modus für Protokolle aktivieren. Hier ist der Befehl dazu:

sudo log config --mode "private_data:on"

Hier ist mein Beitrag, in dem ich diese Antwort bereits gepostet habe:

Mac OS High Sierra, wie der Benutzername für den fehlgeschlagenen Anmeldeversuch angezeigt wird

Sie können die fehlgeschlagene Anmeldung mit einem Befehl wie dem folgenden abrufen:

Für Streaming-Daten:

log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog

Oder fehlgeschlagene Anmeldungen in der letzten Stunde:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h

Dies zeigt jedoch nicht den Benutzernamen für die fehlgeschlagene Anfrage, sondern nur, dass ein Fehler aufgetreten ist.

Das sollte das sein, was ich brauche ... Ich werde es zuerst testen. Lauftest jetzt.
Die Ausführung dieses Befehls dauert zu lange! Nach etwa 20 Stunden hat es immer noch keine Fehler gefunden, obwohl ich absichtlich einige Zeichen falsch eingegeben habe.
Hmm - es sollte praktisch sofort sein. Und der log showBefehl sollte alle zuvor aufgetretenen Fehler erkennen. Probieren Sie den folgenden Befehl aus, es dauert einige Sekunden, bis er auf meinem Computer ausgeführt wird.
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Die obigen Befehle sollten alle Fehler anzeigen, die am letzten Tag aufgetreten sind, sodass Ihre vorherigen Tests angezeigt werden sollten ...
Führen Sie jetzt Ihren Befehl aus. Okay, jetzt, wo es fertig ist, gibt es mir die Ergebnisse (SEHR SCHNELL), ABER gibt es eine Möglichkeit, den Benutzernamen zu erhalten, auf den versucht wurde, zuzugreifen?

Es scheint nicht so, als würde Apple jeden Anmeldefehler protokollieren, oder zumindest sehe ich kein Protokoll mit allen Anmeldefehlern. Ich habe meinen Bildschirm gesperrt und konnte mich nicht anmelden und es schien nirgendwo aufgezeichnet zu werden.

In der Datei /private/var/log/system.log sind jedoch einige Authentifizierungsfehler aufgelistet.

16. April 20:22:34 My-MacBook-Pro sudo [50638]: Benutzername: 3 falsche Passwortversuche; TTY=ttys000 ; PWD=/Benutzer/Benutzername ; BENUTZER=root ; COMMAND=/usr/bin/su

Diese Meldungen werden auch in Console.app angezeigt

Console.app-Anmeldefehler

Die Verarbeitung der Protokolldateien ist keine gute Strategie, da Apples vereinheitlichte Protokollierung datenbankgesteuert ist. Siehe Scotts Antwort zur Verwendung des Befehls log zum Streamen und Durchsuchen der Protokolle nach diesen Details. Nein -1, da Sie eindeutig Hilfe angeboten haben, kann dieser Antwort so wie sie ist einfach nicht +1 geben.
Wie sehe ich alle meine fehlgeschlagenen Anmeldeversuche (macOS High Sierra)
AntwortenHierDatenschutz-Bestimmungen1y, 0v