В Microsoft Windows NT при запуске системы номер события 4608 генерируется Microsoft-Windows-Security-Auditing
, и я вижу это в безопасности Журнал событий. Вы можете прочитать об этом больше в этой статье TechNet , если вы не сталкивались с этим.
Как говорится в статье TechNet, системные администраторы Windows могут использовать это, чтобы отслеживать, когда система запускается, потому что это событие является довольно ранним и фундаментальным запуском подсистемы пространства пользователя. Фактически, существует целый ряд событий аудита безопасности, которые регистрируются.
Я ищу аналог в Unix. Есть ли какой-то журнал событий безопасности, как в Windows, который я могу просканировать для определенного (если использовать терминологию Windows NT, потому что я еще не знаю достаточно, чтобы знать даже правильные имена того, что я хочу) «имя процесса устройства» или «Идентификатор класса событий устройства»? Если да, то где это и что мне искать?
В противном случае, как я могу узнать ту же информацию о том, когда сервер запустился, выключился, люди не смогли войти в систему и т. Д.? Все то же самое, что я обнаружил при поиске событий аудита безопасности в журнале системных событий Microsoft Windows NT.