Jak odczytać starsze dane logowania za pomocą polecenia „last”?

14

lastKomenda może pokazać też kilka wierszy informacji logowania użytkownika, skrócone przez kiedy „zaczyna wtmp” The.

Jeśli chcę uzyskać jak najwięcej lastinformacji (np. Aby sprawdzić, czy do mojego systemu uzyskano dostęp z nieznanego / podejrzanego adresu IP przy użyciu mojej nazwy użytkownika), jak mogę wyświetlić starsze „ostatnie” informacje?

Jeśli last -2000użyję, chcąc zobaczyć 2000 wierszy danych wyjściowych, ale polecenie może zwrócić tylko kilka wierszy, wszystko, co wydarzyło się przed uruchomieniem „wtmp”, zostanie obcięte.)

Zastanawiam się tylko, czy możliwe jest wyświetlenie jak największej liczby wierszy informacji logowania.

command-line kamień wodny
źródło
last -omoże pomóc. Strona man mówi, że czyta stare pliki wtmp. Ale w moim systemie nie daje wiele informacji. Chociaż wtmp begins
ustawiono na
1
zabawne. jeśli masz więcej loginów od 1970 roku niż te pokazane w twoim logu, niektóre ustawienia mogą być niepoprawne.
kamień wodny

Odpowiedzi:

17

lastKomenda używa pliku binarnego /var/log/wtmp, aby wyświetlić listę ostatnich zalogowanych użytkowników.

Ale /var/log/wtmpto obrócony plik, w którym archiwizowane są stare wpisy, w /var/log/wtmp.xktórych x jest cyfrą [0-9].

Jeśli więc chcesz zajrzeć głębiej w historię logowania, spróbuj otworzyć jeden z tych plików:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
źródło
1
Aby odczytać linię 2000 w terminalu, lepiej przekazać ją lessjako last -2000 -f /var/log/wtmp.1| less, +1 za miłą odpowiedź
souravc
Dobry pomysł, dzięki @souravc. Zredagowałem swoją odpowiedź.
Sylvain Pineau
Dziękuję bardzo! Zauważyłem, że plik wtmp.1 został automatycznie spakowany do pliku wtmp.1.gz, więc rozpakowałem go i użyłem „last -f” do odczytu, to jest dokładnie to, czego potrzebowałem. Dziękuję bardzo. Btw, wtmp.1 wydaje się wciąż zbyt aktualny i mam tylko plik wtmp1 (żadnych innych plików, takich jak wtmp2 itp. W / var / log), jeśli chcę, aby mój system przechowywał więcej informacji, jak mogę zmienić domyślne ustawienie systemowe w tym celu?
kamień wodny
Utwórz nowe pytanie, aby określić, ile rotacji należy zarchiwizować.
Sylvain Pineau
1

Jeśli ostatni -f /var/log/wtmp.1nie daje żadnego wyniku, może to wynikać z faktu, że np. Długość rekordu zmieniła się w nowszej wersji.

Prostą opcją byłoby wtedy użycie utmpdump zamiast:

utmpdump /var/log/wtmp.1  | less

Aha, i lessmożna go qzamknąć za pomocą (z „quit” ;-))

Kees
źródło
Zdobądź pierwsze 10 punktów, rok później!
WinEunuuchs2Unix
0

Aktualizacja

Loguje się 

/var/log/wtmp.1

są ograniczone.

Ubuntu 16 i prawdopodobnie 17 mają mechanizm usuwania dzienników starszych niż jeden miesiąc. Aby skonfigurować to zachowanie, należy edytować:

/etc/logrotate.conf

Więcej informacji:

Dostęp do dzienników uruchamiania i zamykania

Daniel
źródło