Como ler informações de login mais antigas usando o comando "last"?

12

O lastcomando pode mostrar poucas linhas de informações de login do usuário, truncadas quando o "wtmp começa".

Se eu quiser obter o máximo possível de lastinformações (por exemplo, para ver se meu sistema foi acessado a partir de um IP desconhecido / suspeito usando meu nome de usuário), como posso exibir as “últimas” informações mais antigas?

Se eu usar last -2000, pretendendo ver 2000 linhas de saída, mas o comando pode retornar apenas algumas linhas, tudo o que aconteceu antes do "wtmp começar" seria truncado.)

Apenas imaginando de alguma forma se é possível gerar o maior número possível de linhas de informações de login.

command-line 
pedra D'Água
fonte
last -opode ajudar. A página de manual diz que lê arquivos wtmp antigos. Mas no meu sistema, não dá muita informação. Embora, wtmp beginssets a 1 de janeiro de 1970.
udiboy1209
1
isso é engraçado. se você tiver mais logins desde 1970 do que o mostrado em seu log, algumas configurações poderão estar incorretas.
water stone

Respostas:

16

O lastcomando usa o arquivo binário /var/log/wtmppara mostrar uma lista dos últimos usuários conectados.

Mas /var/log/wtmpé um arquivo girado no qual entradas antigas são arquivadas /var/log/wtmp.xonde x é um dígito [0-9].

Portanto, se você precisar examinar mais profundamente o histórico de login, tente abrir um desses arquivos:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
fonte
1
Para ler linha 2000 nos terminais é melhor passá-lo para lesscomo last -2000 -f /var/log/wtmp.1| less, um para resposta agradável
souravc
Boa ideia, obrigado @souravc. Eu editei minha resposta.
Sylvain Pineau
Muito obrigado! Notei que o arquivo wtmp.1 foi compactado automaticamente no arquivo wtmp.1.gz, então eu o descompactei e usei "last -f" para ler, é exatamente isso que eu precisava. Muito obrigado. Aliás, o wtmp.1 ainda parece muito recente e só tenho o arquivo wtmp1 (nenhum outro arquivo, como wtmp2 etc em / var / log), se quiser que meu sistema armazene mais informações, como posso alterar a configuração padrão do sistema para esse fim?
water stone
Crie uma nova pergunta para cobrir quantas rotações devem ser arquivadas.
39539 Sylvain Pineau
1

Se o último -f /var/log/wtmp.1não fornecer nenhuma saída, isso pode ser porque, por exemplo, o comprimento do registro mudou em uma versão mais recente.

Uma opção simples seria usar utmpdump:

utmpdump /var/log/wtmp.1  | less

Ah, e lesspode ser encerrado usando q(de "quit" ;-))

Kees
fonte
Tenha seus primeiros 10 pontos, um ano depois!
WinEunuuchs2Unix 03/02
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.