在RHEL Linux操作系统下如何查找失败的登录记录？

使用faillog命令可以查看所有失败的登录。

Linux将登陆失败的信息记录到一个特殊的数据库中 /var/log/faillog。
使用faillog命令，可以查看这个故障日志数据库的内容。
同时还可以使用它来设置一些信息，比如登录失败时提示的信息。登录失败时锁定的时间。

/var/log/faillog文件

/var/log/faillog维护着登录失败次数和每个帐户的限制。

它的代码数据结构为：

struct    faillog {
                short   fail_cnt;
                short   fail_max;
                char    fail_line[12];
                time_t  fail_time;
                long    fail_locktime;
           };

faillog示例

显示用户tom登录失败的记录：

# faillog -u usernameHere
# faillog -u tom

查看所有用户登录失败的记录：

# faillog -a

显示用户tom最近5天登录失败的记录：

# faillog -t 5 -u tom