Как читать более старые данные для входа, используя команду «last»?

7

Команда last может отображать слишком мало строк информации входа пользователя, усеченной при запуске «wtmp».

Если я хочу получить как можно больше last info (например, чтобы узнать, была ли доступ к моей системе из неизвестного / подозрительного IP-адреса, используя мое имя пользователя), как я могу получить более старую «последнюю» информацию?

Если я использую last -2000 , намереваясь увидеть 2000 строк вывода, но команда может возвращать только несколько строк, все, что произошло до того, как «wtmp начинает» будет усечено.)

Просто интересно как-то, если возможно вывести как можно больше строк информации для входа.

    
задан water stone 04.04.2014 в 07:35
источник

3 ответа

11

Команда last использует двоичный файл /var/log/wtmp , чтобы показать список последних зарегистрированных пользователей.

Но /var/log/wtmp - это повернутый файл, в котором старые записи заархивированы в /var/log/wtmp.x , где x - это цифра [0-9] .

Итак, если вам нужно посмотреть глубже в истории входа в систему, попробуйте открыть один из этих файлов:

last -2000 -f /var/log/wtmp.1 | less
    
ответ дан Sylvain Pineau 04.04.2014 в 07:58
источник
0

last -2000 -f /var/log/wtmp.1 | less выглядит так, как будто работает, но не может выйти из него. Даже с CTRL-C.

Вы уверены, что это [0-9] Я посмотрел на 2 сервера, которые были в течение многих лет, и они показывают только один файл wtmp.1

Можно ли сказать, что это сделать до 0,9? Было бы неплохо, если бы он сохранил больше истории входа в систему.

/var/log/auth.log показывает, что я думаю, что просто не удалось войти в систему и там IP. Поэтому хорошо видеть список неудачных журналов.

-Raymond Day

    
ответ дан Raymond Day 10.04.2017 в 13:09
0

Update

Вход в

/var/log/wtmp.1

ограничены.

Ubuntu 16 и, возможно, 17 имеют механизм удаления журналов старше одного месяца. Чтобы настроить это поведение, вы должны отредактировать:

/etc/logrotate.conf

Дополнительная информация:

  

Доступ к журналам запуска и закрытия

    
ответ дан Daniel 15.06.2017 в 14:15