Есть две причины, по которым вы не видите /var/log/auth.log под WSL:
Во-первых, WSL не запускает никаких служб по умолчанию, в том числе rsyslog. Без службы системного ведения журнала, ну... никаких системных журналов! Я предполагаю, что вы уже поняли эту часть, так как вы делать есть /var/log/auth.log, хоть. Для других, которые читают это, вам нужно будет сделать запуск службы sudo rsyslog для запуска службы ведения журнала.
Во-вторых, как указал ThomasWard в комментариях и обсуждении, WSL не «логинится» в традиционном смысле. В частности, в Ubuntu для аутентификации пользователей используется PAM (подключаемые модули аутентификации). И PAM — это то, что записывает информацию об аутентификации в системный журнал, что обычно приводит к ожидаемому результату. /var/log/auth.log.
Но вы заметите, что не вводите пароль при запуске WSL. Это потому, что WSL /в этом процесс (его PID 1, который является родителем всех других процессов) запускает вашу оболочку как пользователь по умолчанию. Пароли не так уж полезны в WSL, так как Окна пользователя, который в конечном итоге определяет ваши права доступа к системе. Иными словами, даже корень в WSL никогда не может превышать разрешения пользователя Windows.
Поскольку вы уже вошли в Windows, WSL не нуждается в «дополнительной защите» пароля пользователя WSL.
Однако, как вы видели в своем существующем /var/log/auth.log, там находятся вещи, которые вы можете сделать, чтобы запустить PAM и, таким образом, запустить запись в журнал. Двумя наиболее распространенными являются Су и судо.
Также обратите внимание, что /etc/securetty сообщение, которое вы видите в журнале, связано с pam_securetty модуль пытается найти свою конфигурацию. Поскольку это не настроено (или не требуется) в WSL, Ubuntu не предоставляет этот файл по умолчанию.
