Folgende Befehle habe ich probiert:
syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who
Dank Scot funktioniert folgender Befehl:
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Das Problem dabei ist, dass es mir nicht den Benutzernamen des Kontos gibt, auf das zugegriffen werden soll.
Kennt jemand irgendwelche Bash/Python-Programme oder Terminal-Befehle, die mir meine fehlgeschlagenen Anmeldeversuche (grafische Anmeldung/ssh) mitteilen?
Weitere Informationen finden Sie hier
Ich wollte den Benutzernamen der fehlgeschlagenen und erfolgreichen Anmeldeversuche auf meinem Mac High Sierra sehen und stellte schließlich eine weitere Frage zu SE. Später fand ich die Antwort und aktualisierte diesen Beitrag.
Wenn Sie immer noch nach einer Möglichkeit suchen, Benutzernamen in Protokollen anzuzeigen, müssen Sie den „privaten“ Modus für Protokolle aktivieren. Hier ist der Befehl dazu:
sudo log config --mode "private_data:on"
Hier ist mein Beitrag, in dem ich diese Antwort bereits gepostet habe:
Mac OS High Sierra, wie der Benutzername für den fehlgeschlagenen Anmeldeversuch angezeigt wird
Sie können die fehlgeschlagene Anmeldung mit einem Befehl wie dem folgenden abrufen:
Für Streaming-Daten:
log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog
Oder fehlgeschlagene Anmeldungen in der letzten Stunde:
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h
Dies zeigt jedoch nicht den Benutzernamen für die fehlgeschlagene Anfrage, sondern nur, dass ein Fehler aufgetreten ist.
Es scheint nicht so, als würde Apple jeden Anmeldefehler protokollieren, oder zumindest sehe ich kein Protokoll mit allen Anmeldefehlern. Ich habe meinen Bildschirm gesperrt und konnte mich nicht anmelden und es schien nirgendwo aufgezeichnet zu werden.
In der Datei /private/var/log/system.log sind jedoch einige Authentifizierungsfehler aufgelistet.
16. April 20:22:34 My-MacBook-Pro sudo [50638]: Benutzername: 3 falsche Passwortversuche; TTY=ttys000 ; PWD=/Benutzer/Benutzername ; BENUTZER=root ; COMMAND=/usr/bin/su
Diese Meldungen werden auch in Console.app angezeigt
H. Kamran
H. Kamran
Schotte
log show
Befehl sollte alle zuvor aufgetretenen Fehler erkennen. Probieren Sie den folgenden Befehl aus, es dauert einige Sekunden, bis er auf meinem Computer ausgeführt wird.Schotte
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Schotte
H. Kamran