如何在RHEL Linux操作系统下查找失败的登录记录？

您需要使用faillog命令查看所有失败的登录尝试。

Linux记录无法登录到/var/log/faillog的特殊数据库。
要在/var/log/faillog中查看故障日志数据库的内容，请使用faillog命令。
相同的命令可用于

• 设置故障计数器。
• 设置或配置限制。
• 显示失败的登录信息。

关于/var/log/faillog文件的更多信息

/var/log/faillog维护着登录失败次数和每个帐户的限制。
该文件为二进制格式，具有以下文件结构：

struct    faillog {
                short   fail_cnt;
                short   fail_max;
                char    fail_line[12];
                time_t  fail_time;
                long    fail_locktime;
           };

您不能使用cat命令查看结构：

# cat /var/log/faillog

因此，您需要使用faillog命令显示此二进制文件记录。

faillog命令示例

在我们之前的教程中进行了介绍。
要显示用户tom的失败登录尝试，请执行：

# faillog -u usernameHere

# faillog -u tom

要显示所有用户的失败登录尝试，请执行：

# faillog -a

要显示最近5天以上的故障日志记录，请执行：

# faillog -t 5 -u tom