目前我正在试图找到一种方法来记录所有的从我们所有的网络上的Windows机器的连接和USB设备断线。这些信息需要自动记录到机器上的一个文件中，然后这个文件可以被 nxlog 读取，然后传送到我们的集中日志平台进行处理。我希望 Windows 日志会自动记录此信息，但我发现虽然有关 USB 可移动存储的一些信息似乎已记录到事件查看器中，但这是非常有限的信息，当 USB 键盘和鼠标处于连接和断开。

经过一番挖掘，我发现 nirsoft 编写了一个小型 exe，它做了很多艰苦的工作，USBLogView无需安装即可运行，并且每次 USB 设备连接和断开连接到机器时都会记录日志。问题是我看不到将它作为服务运行的方法，也看不到任何方法让它自动将输出的信息记录到日志文件中，尽管您可以选择日志条目并手动选择它们保存到日志文件中。

我可以使用组策略创建 exe 文件的本地副本，然后以某种方式强制此 exe 在启动期间运行，但仍需要克服无法将日志自动写入文件的主要问题。我还需要能够确保用户无法关闭程序，当我自己启动它时这是可能的，理想情况下隐藏它而不显示托盘图标将是设置它的最佳方式up（但是当我尝试使用隐藏设置时，在我看来它可以显示在主窗口中，也可以只显示系统托盘图标）。我查看了网站，但我没有看到任何方法可以通过选项来调用程序来告诉它执行此操作。我上周还给 nirsoft 发了电子邮件，看看他们是否有任何建议，但我仍在等待回复。

有没有人有任何替代方法来做到这一点？欢迎任何建议或帮助！谢谢

在周年更新之后，Event Trace Sessions在 Windows 10下运行了一个名为UserNotPresentTraceSession.

要检查这一点，请打开性能管理单元并展开Event Trace Sessions.

有趣的是，您无法Startup Event Trace Sessions像其他所有条目一样选择禁用此功能。

考虑来自该 journalctl 输出的以下三个条目（为完整性打开 json 输出和调试模式）：

SYSTEMD_LOG_LEVEL=debug journalctl -o json -u docker --since '1 hour ago'
Root directory /run/log/journal added.
Considering /run/log/journal/de1e08ac57af453bacab3cc9875b12b9.
Directory /run/log/journal/de1e08ac57af453bacab3cc9875b12b9 added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-0000000001022a21-00054cd4f00adc68.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-000000000101fcf0-00054cd199b0289f.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-000000000101cd35-00054ccd960f91a8.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-0000000001019c1d-00054ccab4dac8d5.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-0000000001016ae3-00054cc7d76493eb.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-00000000010139aa-00054cc4212faa29.journal added.
File /run/log/journal/de1e08ac57af453bacab3cc9875b12b9/system@7bea274da69540c8b1676a1cd030f6ee-0000000001010d45-00054cbe6893a794.journal added.
Considering /run/log/journal/c811c8a6e38845669ba5607794d4b425.
Directory /run/log/journal/c811c8a6e38845669ba5607794d4b425 added.
File /run/log/journal/c811c8a6e38845669ba5607794d4b425/system.journal added.
Journal filter: ((OBJECT_SYSTEMD_UNIT=docker.service AND _UID=0) OR (UNIT=docker.service AND _PID=1) OR (COREDUMP_UNIT=docker.service AND _UID=0 AND MESSAGE_ID=fc2e22bc6ee647b6b90729ab34a250b1) OR _SYSTEMD_UNIT=docker.service)
{ "__CURSOR" : "s=7bea274da69540c8b1676a1cd030f6ee;i=10260ef;b=15e9d32e03844e279dc0fcce7cb3c223;m=77b2f462910;t=54cd75d2cca7e;x=c30fbcda999df142", "__REALTIME_TIMESTAMP" : "1491862748449406", …

在 EC2 实例上，我已将 Apache 的日志位置更改为与默认目录不同的目录。这样我就可以将日志保存在（非启动，只有数据）EBS 上。

但是，我无法cd进入日志目录。它属于我的用户，并且对每个人都具有读取权限。我也不能cat记录日志（尽管使用 sudo 它可以工作，而且我可以看到 Apache 记录得很好）。

$ ls -lh
total 4.0K
drw-rw-rw- 2 ubuntu ubuntu 4.0K 2011-05-15 14:52 apache
$ ls -lh apache/
ls: cannot access apache/error.log: Permission denied
ls: cannot access apache/access.log: Permission denied
total 0
-????????? ? ? ? ?                ? access.log
-????????? ? ? ? ?                ? error.log
$ cd apache
-bash: cd: apache: Permission denied
$ sudo ls -lh apache/
total 2.4M
-rw-r--r-- 1 ubuntu ubuntu 2.4M …

我已经安装Tomcat 7在Amazon EC2正在运行的 Amazon Linux 上。我已经WAR在 tomcat 上安装了一个文件，我正在使用java.util.logging我的代码记录消息。现在如何访问 Amazon EC2 中的这些日志消息？

问题

查看用户锁定和解锁他的工作站的确切日期和时间 - 运行 Fedora 18。

题

有什么方法可以记录用户在 Fedora 18（或通用 linux 解决方案）上进入和退出“锁定屏幕”的事件？

试过

1. 试着看/var/log/boot- 没有帮助。看着/var/log/messages我找到了消息systemd-logind[xxx]: New session 140 of user YYY，但找不到锁屏（侏儒？）事件。
2. 尝试查看/var/log/audit/audit.log其中包含大量有关所有类型的用户和服务的 PAM 相关消息，但我不确定要查找锁定屏幕活动的内容

在远程主机上，我有一个 Apache Web 服务器正在运行，我注意到它今天早上已重新启动，如错误日志所示：

[Sun Feb 16 07:56:26 2014] [notice] 请求正常重启，正在重启

我不认为它是由人类引起的关于重新启动的时间，所以我想知道：

1. 什么是“正常重启请求”，是什么触发了它？
2. 是真的需要还是禁用它是一个更好的主意（如果我找到了罪魁祸首）？

这可能是与日志相关的问题，因为最近的错误日志文件以该行终止...

我在通过 SSH 进行 X 转发时遇到问题。我已经战斗了很长时间，但似乎没有人能提供帮助。

我现在采取不同的策略。我想知道如何调试错误？

我应该查看哪些日志，我应该设置哪些额外的标志（-v 等）以及我应该寻找什么？

进一步编辑：

如果我将 Putty 登录到服务器并尝试xeyes，我会得到：

PuTTY X11 代理：尝试了错误的授权协议错误：无法打开显示：本地主机：10.0

如果xauth generate $DISPLAY我得到：

PuTTY X11 代理：尝试了错误的授权协议xauth: (argv):1: 无法打开显示“localhost:10.0”。

以下几行出现在我的 CentOSsecure日志文件中：

Oct 27 21:10:59 servr userdel[7270]: delete user 'nagent'
Oct 27 21:10:59 servr userdel[7270]: removed group 'nagent' owned by 'nagent'
Oct 27 21:11:04 servr useradd[7333]: new group: name=nagent, GID=502
Oct 27 21:11:04 servr useradd[7333]: new user: name=nagent, UID=502, GID=502, home=/home/nagent, shell=/bin/bash

我没有这样做，据我所知，我是唯一可以访问该服务器的人。

这些日志条目是什么意思？是否有可能执行此操作的进程，或者是否有其他人闯入了我的系统？

编辑 1 - 运行建议：

find / -user nagent -iname "*" -exec ls -l {} \;
-rw-rw----. 1 nagent mail 0 Oct 27 21:11 /var/spool/mail/nagent
find: `/proc/14041/task/14041/fd/5': No such file or directory
find: `/proc/14041/task/14041/fdinfo/5': No …

使用 Firefox 中的开发人员工具可以查看有关对网络服务器的请求和响应的详细信息（HTTP 标头和内容、时间信息、状态代码等）。

我想知道是否有可能在 HTTP 协议甚至接管之前在某处看到类似的 DNS 解析请求日志记录？或者这是在浏览器之外处理的（例如由某些操作系统组件）？