Я намагаюся визначити, хто нещодавно був увійшов до конкретної машини в моєму кабінеті. Тому я звик last, але wtmp починається вчора (понеділок) близько 14:30. Я сподівався знайти інформацію, яка тягнеться до неділі, принаймні. Чи можна отримати цю інформацію, не прошиваючи файл журналу авторизації?
Відповіді:
Імовірно, ваш файл wtmp був повернутий, тому спробуйте last -f /var/log/wtmp.1або last -f /var/log/wtmp.0прочитайте попередні файли. Якщо вони не працюють, ls /var/log/wtmp*і подивіться, чи називають їх ще чимось. Якщо вони стиснуті ( .gzрозширення), видаліть їх.
Якщо їх там немає, знайдіть того, хто налаштує схему обертання боллоков, і дайте їм міцний удар ногою на панталони. Немає причин не зберігати принаймні кілька тижнів wtmpжурналів.
Якщо файли wtmp недоступні, ви також можете переглянути безпосередньо / var / log / secure або / var / log / messages, щоб побачити там будь-яке повідомлення для входу.