Lista de intentos de inicio de sesión fallidos en Mavericks

Quiero ver si alguien ha intentado iniciar sesión en mi computadora, que ejecuta Mavericks. Estoy principalmente interesado en rastrear los intentos de inicio de sesión de ssh, así como en rastrear a las personas que escriben contraseñas físicamente en mi teclado para intentar iniciar sesión.

Relacionado

He visto ¿Cómo iniciar sesión y cerrar sesión en Mavericks? , pero lastparece enumerar solo inicios de sesión exitosos, o al menos muestra principalmente inicios de sesión exitosos.

También he visto una respuesta sobre buscar en system.log o "todos los mensajes", usando la utilidad de la consola, pero esos archivos/mensajes parecen muy desordenados.

Preguntas y respuestas relacionadas para versiones anteriores de OSX

¿Está buscando rastrear el inicio de sesión de ssh, el inicio de sesión de la consola local, el inicio de sesión de pantalla compartida, la apertura de la terminal? ¿Qué significa "iniciar sesión" y está buscando alguna solución o solo una que sea programable desde un shell?
@bmike No sé qué es un inicio de sesión con pantalla compartida. Estoy interesado en las dos primeras opciones, shh y consola local. Hace un tiempo, mi cuenta en un servidor de amigos fue pirateada, ya que las credenciales que inventamos eran tontas y habíamos habilitado ssh. Afortunadamente no hubo daños. Me preguntaba si tales ataques podrían encontrarse en un registro, pero también estoy interesado en que las personas escriban contraseñas físicamente en mi teclado para intentar iniciar sesión.
Excelente refinamiento en la pregunta. He tenido la intención de preguntar cómo configurar un disparador ssh para evitar intentos repetidos de inicio de sesión. Las respuestas aquí pueden darme algunas ideas sobre cómo implementar ese tipo de protección automatizada.

Respuestas (1)

Puedes usar este comando de Terminal:

cat /private/var/log/system.log | grep "Failed to authenticate"

Feb 11 16:48:04 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
Feb 11 16:48:06 g authorizationhost[15313]: Failed to authenticate user <grgarside> (error: 9).
+1. Desafortunadamente, system.log solo contiene entradas del 11 de febrero.
Algo así como zgrep "whatever" /path/to/system.log*con algún procesamiento verificaría todos los registros comprimidos que quedan en el sistema. Me pregunto si hay una manera de llamar al registrador del sistema de Apple para obtener una vista más plana del contenido de varios archivos de registro.
Todo en Yosemite: BAD SUy incorrect passwordson palabras clave para buscar intentos fallidos de autenticación por suy sudorespectivamente. Ssh genera authentication error foren este mismo archivo de registro. No pude generar un mensaje que contenga Failed to authenticate.
Lista de intentos de inicio de sesión fallidos en Mavericks
RespuestasAquíPolítica de privacidad1y, 0v