Esto es un artículo de ayuda en
Servidores
Como monitorear historial de accesos en CentOS con utmpdump
Mantener, revisar y analisar de registros de los eventos que han ocurrido durante un cierto periodo de tiempo o que actualmente están ocurriendo, se encuentran entre las tareas más básicas y esenciales de un administrador de sistemas Linux. En el caso de la gestión de usuarios, el examen de los registros de inicio de sesión de usuario y cierre de sesión (las que fracasaron y/o exitosas) nos pueden alertar acerca de las posibles brechas de seguridad o uso no autorizado de nuestro sistema.
En un sistema CentOS, el historial de inicio de sesión del usuario se almacena en los archivos binarios:
/var/run/utmp (Sesiones actuales corriendo) es util para ver quien, y que esta haciendo.
/var/log/wtmp (Almacena accesos anteriores al sistema) ideal para ver quien y desde donde tuvo acceso al sistema.
/var/log/btmp (Log de fallos de acceso al sistema) usado para identificar posibles atacantes y crear reglas contra rangos de IP que intentana acceder al sistema sin autorización.
Para ver cada uno de los accesos (logs), debemos usar el comando utmpdump.
Por ejemplo, identificate por SSH y ejecuta:
utmpdump /var/run/utmp
