He probado los siguientes comandos:
syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who
Gracias a Scot, el siguiente comando funciona:
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
El problema con esto es que no me da el nombre de usuario de la cuenta a la que se intenta acceder.
¿Alguien tiene algún programa bash/Python o comando de Terminal que me dé mis intentos de inicio de sesión fallidos (inicio de sesión gráfico/ssh)?
Ver más información aquí
Quería ver el nombre de usuario de los intentos de inicio de sesión fallidos y exitosos en mi Mac High Sierra y terminé publicando otra pregunta en SE. Más tarde encontré la respuesta y actualicé esa publicación.
Si todavía está buscando una forma de ver los nombres de usuario en los registros, debe activar el modo "privado" para los registros. Aquí está el comando para hacer eso:
sudo log config --mode "private_data:on"
Aquí está mi publicación donde ya publiqué esta respuesta:
Mac OS High Sierra cómo ver el nombre de usuario para el intento fallido de inicio de sesión
Puede recuperar el inicio de sesión fallido con un comando como el siguiente:
Para transmisión de datos:
log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog
O, inicios de sesión fallidos en la última hora:
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h
Pero esto no mostrará el nombre de usuario de la solicitud fallida, solo que ocurrió una falla.
No parece que Apple registre cada falla de inicio de sesión, o al menos no veo un registro con todas las fallas de inicio de sesión. Bloqueé mi pantalla y no pude iniciar sesión y no pareció grabarlo en ninguna parte.
Sin embargo, el archivo /private/var/log/system.log tiene algunos errores de autenticación enumerados.
16 de abril 20:22:34 Mi-MacBook-Pro sudo[50638]: nombre de usuario: 3 intentos de contraseña incorrectos; TTY=ttys000 ; PWD=/Usuarios/nombre de usuario; USUARIO=raíz; COMANDO=/usr/bin/su
También verá estos mensajes en Console.app
H. Kamran
H. Kamran
escocés
log show
comando debe detectar cualquier falla que haya ocurrido anteriormente. Pruebe el siguiente comando, tarda unos segundos en ejecutarse en mi máquina.escocés
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
escocés
H. Kamran