Как просмотреть все мои неудачные попытки входа в систему (macOS High Sierra)

Я пробовал следующие команды:

syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who

Благодаря Scot работает следующая команда:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d

Проблема в том, что он не дает мне имя пользователя учетной записи, к которой пытаются получить доступ.

Есть ли у кого-нибудь какие-либо программы bash/Python или команды терминала, которые дадут мне мои неудачные попытки входа в систему (графический вход/ssh)?

Смотрите больше информации здесь

Ответы (3)

Я хотел увидеть имя пользователя неудачных и успешных попыток входа в систему на моем Mac High Sierra и в итоге опубликовал еще один вопрос на SE. Позже я нашел ответ и обновил этот пост.

Если вы все еще ищете способ увидеть имена пользователей в журналах, вам нужно включить «приватный» режим для журналов. Вот команда для этого:

sudo log config --mode "private_data:on"

Вот мой пост, где я уже разместил этот ответ:

Mac OS High Sierra, как увидеть имя пользователя для неудачной попытки входа в систему

Вы можете восстановить неудачный вход с помощью команды, подобной следующей:

Для потоковой передачи данных:

log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog

Или неудачные попытки входа за последний час:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h

Но это не покажет имя пользователя для неудачного запроса, а только то, что произошел сбой.

Это должно быть то, что мне нужно... Сначала я это проверю. Текущий тест сейчас.
Эта команда выполняется слишком долго! После 20-ти часов он все еще не обнаружил ни одного сбоя, хотя я намеренно ввел некоторые символы неправильно.
Хм - это должно быть практически мгновенно. И log showкоманда должна выявить любые сбои, которые произошли ранее. Попробуйте приведенную ниже команду, она выполняется на моей машине несколько секунд.
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Приведенные выше команды должны показать все сбои, произошедшие за последний день, поэтому должны появиться ваши предыдущие тесты...
Выполнение вашей команды сейчас. Хорошо, теперь, когда это сделано, это дает мне результаты (ОЧЕНЬ БЫСТРО), НО есть ли способ получить имя пользователя, к которому пытались получить доступ?

Похоже, что Apple не регистрирует каждую ошибку входа в систему, или, по крайней мере, я не вижу журнал со всеми ошибками входа. Я заблокировал свой экран и не смог войти в систему, и, похоже, это нигде не записывалось.

Однако в файле /private/var/log/system.log перечислены некоторые ошибки аутентификации.

16 апреля 20:22:34 My-MacBook-Pro sudo[50638]: имя пользователя: 3 неверных попытки ввода пароля; телетайп=ttys000 ; PWD=/Пользователи/имя пользователя ; ПОЛЬЗОВАТЕЛЬ=корень ; КОМАНДА=/usr/bin/su

Вы также увидите эти сообщения в Console.app.

Ошибка входа в Console.app

Обработка файлов журнала не является хорошей стратегией сейчас, когда унифицированное ведение журналов Apple управляется базой данных. См. ответ Скотта об использовании команды журнала для потоковой передачи и поиска в журналах этих сведений. Нет -1, поскольку вы явно предложили помощь, просто не можете добавить +1 к этому ответу в его нынешнем виде.
Как просмотреть все мои неудачные попытки входа в систему (macOS High Sierra)
СпросиСетьПолитика конфиденциальности1y, 0v