¿Cómo veo todos mis intentos de inicio de sesión fallidos (macOS High Sierra)?

He probado los siguientes comandos:

syslog -F raw -k Facility com.apple.system.lastlog | grep <my_username>
cat /var/log/asl.log (DOES NOT WORK ON HighSierra)
who

Gracias a Scot, el siguiente comando funciona:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d

El problema con esto es que no me da el nombre de usuario de la cuenta a la que se intenta acceder.

¿Alguien tiene algún programa bash/Python o comando de Terminal que me dé mis intentos de inicio de sesión fallidos (inicio de sesión gráfico/ssh)?

Ver más información aquí

Respuestas (3)

Quería ver el nombre de usuario de los intentos de inicio de sesión fallidos y exitosos en mi Mac High Sierra y terminé publicando otra pregunta en SE. Más tarde encontré la respuesta y actualicé esa publicación.

Si todavía está buscando una forma de ver los nombres de usuario en los registros, debe activar el modo "privado" para los registros. Aquí está el comando para hacer eso:

sudo log config --mode "private_data:on"

Aquí está mi publicación donde ya publiqué esta respuesta:

Mac OS High Sierra cómo ver el nombre de usuario para el intento fallido de inicio de sesión

Puede recuperar el inicio de sesión fallido con un comando como el siguiente:

Para transmisión de datos:

log stream --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog

O, inicios de sesión fallidos en la última hora:

log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1h

Pero esto no mostrará el nombre de usuario de la solicitud fallida, solo que ocurrió una falla.

Esto debería ser lo que necesito... Lo probaré primero. Ejecutando prueba ahora.
¡Este comando tarda demasiado en ejecutarse! Después de 20 horas, todavía no ha detectado ninguna falla, a pesar de que ingresé algunos caracteres mal a propósito.
Hmm, debería ser prácticamente instantáneo. Y, el log showcomando debe detectar cualquier falla que haya ocurrido anteriormente. Pruebe el siguiente comando, tarda unos segundos en ejecutarse en mi máquina.
log show --predicate '(eventMessage CONTAINS "Authentication failed")' --style syslog --last 1d
Los comandos anteriores deberían mostrar todas las fallas que ocurrieron en el último día, por lo que sus pruebas anteriores deberían aparecer...
Ejecutando su comando ahora. Muy bien, ahora que está hecho, me da los resultados (MUY RÁPIDO), PERO, ¿hay alguna forma de obtener el nombre de usuario al que se intentaba acceder?

No parece que Apple registre cada falla de inicio de sesión, o al menos no veo un registro con todas las fallas de inicio de sesión. Bloqueé mi pantalla y no pude iniciar sesión y no pareció grabarlo en ninguna parte.

Sin embargo, el archivo /private/var/log/system.log tiene algunos errores de autenticación enumerados.

16 de abril 20:22:34 Mi-MacBook-Pro sudo[50638]: nombre de usuario: 3 intentos de contraseña incorrectos; TTY=ttys000 ; PWD=/Usuarios/nombre de usuario; USUARIO=raíz; COMANDO=/usr/bin/su

También verá estos mensajes en Console.app

Error de inicio de sesión de Console.app

Procesar los archivos de registro no es una gran estrategia ahora que el registro unificado de Apple se basa en la base de datos. Consulte la respuesta de Scott sobre el uso del comando de registro para transmitir y buscar los registros para obtener estos detalles. No -1 ya que claramente ofreció ayuda, simplemente no puede hacer +1 en esta respuesta tal como está.
¿Cómo veo todos mis intentos de inicio de sesión fallidos (macOS High Sierra)?
RespuestasAquíPolítica de privacidad1y, 0v