Ne logam ca root, cu
su -
sau
sudo su -
daca nu am setat o parola distincta pt root.
Rulam un
cat /var/log/secure.log | grep failed
sau
cat /var/log/secure.log | grep Failed
care ne va arata incercarile nereusite de login (inclusiv ale noastre, evident - no need to panic here 
).
(Atentie, argumentul pt grep este case sensitive, motiv pt care failed≠Failed.
Fisierul nu poate fi accesat din Utilities/Console, de vreme ce in GUI nu ne logam ca root).
Ca user obisnuit, putem recurge la o comanda precum
sudo grep “failed/Failed” /var/log/secure.log
care va cere doar parola de user.
Alte informatii importante sunt stocate in /var/log/wtmp, o baza de date pe care o putem accesa cu comanda
last | less
al carei output poate fi filtrat si dupa alte criterii:
last username
etc.
(Pt. detalii, vezi “man last”.)
Din Utilities/Console, putem arunca o privire si asupra fisierului ipfw.log din /var/log, in care vedem traficul blocat de catre firewall, sau din linia de comanda, cu
more /var/log/ipfw.log
sau
cat /var/log/ipfw.log | less
sau
tail /var/log/ipfw.log
etc.
(De comanda tac vad ca Mac OS-ul inca nu a auzit 
)
Daniel@~> which tac
no tac in /bin /sbin /usr/bin /usr/sbin /usr/local/bin
Daca vrem sa aflam si cine ne deranjeaza, putem rula un
whois ipaddress/domainname
sau un
traceroute ipaddress/domainname
din terminal, care ne vor indica sursa, respectiv hopurile prin care este rutat traficul inainte de a ajunge la noi.
Pt. informatii similare avem si Utilities/Network Utility, o aplicatie mai usor de folosit, dar in acelasi timp mai rudimentara decat un UNIX shell.
A încercat un bulangiu de la un IP aparținând Arizona State University să se logheze folosind nume de useri ca root, admin, user, mysql, web, linux, guest, postfix, postmaster, test, oracle. În ziua aia cuplasem computerul direct la net, fără router.
