このユーザって今も使われてるのかなー？を確認したくて、wとかlastlogを叩くと、過去絶対にログインしてたはずのユーザで「一度もログインしていません」とか「Never Logged In」と出ることがあって、なんぞこれ？と思ってたので調べてみた。

結論から言うと、SCPやSFTPでログインしてもwやlastlogにログイン履歴は残らない。これは仕様。

私もこの辺の質問者とまったく同じ気持ちでした・・・。

• linux - User logged in by sftp does not show up in `w` - Unix & Linux Stack Exchange
• Command last does not show logins through sFTP, is there something similar or any logs? - Ask Ubuntu

回答欄にも書いてあるけど、wやlastやlastlogがログイン情報のソースとして参照しているのは、/var/run/utmpや/var/log/wtmpや/var/log/lastlog。

んで、sshdはSCPやSFTPでログインした情報を、/var/run/utmpや/var/log/wtmpや/var/log/lastlogに渡さない。だからSCPでログインしてるユーザが「Never Logged In」になる。

sshd_configの設定でどうにかならんかなーと思ったけど、どうにもならなさそう。

という訳で、SCPやSFTPでログインした履歴が見たかったら、/var/log/secure見るのが正解かな、と思う。勿論、必要な情報がちゃんと出るように、事前にsshd_configでSyslogFacilityをAUTHPRIV、LogLevelをVERBOSE（デフォルトはINFO）にしておいて。

• 鍵認証のサーバで「いつ」「誰が」「どの鍵で」ログインしたかを調べる方法
• sshd_configのAUTHとAUTHPRIVの違い