Bagaimana cara membaca info login lama menggunakan perintah "terakhir"?

12

The lastperintah mungkin menunjukkan terlalu sedikit baris info login user, terpotong oleh ketika “wtmp dimulai”.

Jika saya ingin mendapatkan sebanyak mungkin lastinfo (mis., Untuk melihat apakah sistem saya diakses dari IP tidak dikenal / mencurigakan menggunakan nama pengguna saya), bagaimana saya bisa menampilkan info "terakhir" yang lebih lama?

Jika saya menggunakan last -2000, berniat untuk melihat 2.000 baris output, tetapi perintah hanya dapat mengembalikan beberapa baris, apa pun yang terjadi sebelum "wtmp dimulai" akan terpotong.)

Hanya bertanya-tanya entah bagaimana mungkin untuk mengeluarkan sebanyak mungkin baris info login.

command-line Batu air
sumber
last -omungkin membantu. Halaman manual mengatakan itu membaca file wtmp lama. Tetapi pada sistem saya itu tidak memberikan banyak info. Meskipun, wtmp beginsditetapkan ke 1 Januari 1970.
udiboy1209
1
itu lucu. jika Anda memiliki lebih banyak login sejak tahun 1970 daripada yang ditampilkan di log, maka beberapa pengaturan mungkin salah.
batu air

Jawaban:

16

The lastperintah menggunakan file biner /var/log/wtmpuntuk menunjukkan daftar dari bekas tebangan lalu di pengguna.

Tetapi /var/log/wtmpfile yang diputar di mana entri lama diarsipkan di /var/log/wtmp.xmana x adalah digit [0-9].

Jadi, jika Anda perlu melihat lebih dalam pada riwayat login, coba buka salah satu file itu:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
sumber
1
Untuk membaca 2000 baris dalam terminal lebih baik untuk menyebarkannya ke lesssebagai last -2000 -f /var/log/wtmp.1| less, 1 untuk jawaban yang bagus
souravc
Ide bagus, terima kasih @souravc. Saya sudah mengedit jawaban saya.
Sylvain Pineau
Terima kasih banyak! Saya perhatikan bahwa file wtmp.1 secara otomatis di-gzip ke dalam file wtmp.1.gz, jadi saya membuka ritsletingnya, dan menggunakan "last -f" untuk membaca, itulah yang saya butuhkan. Terima kasih banyak. Btw, wtmp.1 tampaknya masih terlalu baru, dan saya hanya punya file wtmp1 (tidak ada file lain seperti wtmp2 dll di / var / log), jika saya ingin sistem saya menyimpan lebih banyak info, bagaimana saya dapat mengubah pengaturan sistem default untuk tujuan ini?
batu air
Harap buat pertanyaan baru untuk mencakup berapa rotasi yang harus diarsipkan.
Sylvain Pineau
1

Jika yang terakhir -f /var/log/wtmp.1tidak memberikan output apa pun, ini bisa karena misalnya panjang rekaman telah berubah di versi yang lebih baru.

Opsi sederhana akan menggunakan utmpdump sebagai gantinya:

utmpdump /var/log/wtmp.1  | less

Oh, dan lessbisa berhenti menggunakan q(dari "berhenti" ;-))

Kees
sumber
Dapatkan 10 poin pertama Anda, 1 tahun kemudian!
WinEunuuchs2Unix
0

Memperbarui

Masuk 

/var/log/wtmp.1

dibatasi.

Ubuntu 16 dan mungkin 17 memiliki mekanisme menghapus log yang lebih lama dari satu bulan. Untuk mengkonfigurasi perilaku ini, Anda harus mengedit:

/etc/logrotate.conf

Info lebih lanjut:

Akses ke log startup dan matikan

Daniel
sumber