Як читати старі дані для входу за допомогою команди "Останній"?

14

lastКоманда може показати занадто кілька рядків входу користувача інформації, відсікається , коли «починає wtmp».

Якщо я хочу отримати якомога більше lastінформації (наприклад, щоб побачити, чи отримали доступ до моєї системи з будь-якого невідомого / підозрілого IP-адреси за допомогою мого імені користувача), як я можу вивести старішу "останню" інформацію?

Якщо я використовую last -2000, маючи намір побачити 2000 рядків виводу, але команда може повернути лише кілька рядків, все, що відбулося до початку "wtmp", буде усічене.)

Просто цікаво, чи можна вивести якомога більше рядків інформації для входу.

command-line 
водний камінь
джерело
last -oможе допомогти. Сторінка man каже, що вона читає старі файли wtmp. Але в моїй системі це не дає багато інформації. Хоча, wtmp beginsвстановлюється на 1 січня 1970 р.
udiboy1209
1
забавно. якщо з 1970 року у вас більше вхідних даних, ніж показано у вашому журналі, деякі налаштування можуть бути неправильними.
водний камінь

Відповіді:

17

lastКоманда використовує двійковий файл , /var/log/wtmpщоб показати список останніх зареєстрованих користувачів.

Але /var/log/wtmpце повернутий файл, де старі записи архівуються, /var/log/wtmp.xде x - цифра [0-9].

Тому якщо вам потрібно заглянути глибше в історію входу, спробуйте відкрити один із цих файлів:

last -2000 -f /var/log/wtmp.1 | less
Сільвейн Пано
джерело
1
Щоб прочитати 2000 рядок у терміналі, краще передати його lessяк last -2000 -f /var/log/wtmp.1| less+1, для приємної відповіді
souravc
Гарна ідея, дякую @souravc. Я відредагував свою відповідь.
Sylvain Pineau
Дуже дякую! Я помітив, що файл wtmp.1 автоматично gzipped у файл wtmp.1.gz, тому я розпакував його і використав "last -f" для читання, саме це мені і потрібно. Дуже дякую. До речі, wtmp.1 здається занадто недавнім, і у мене є лише файл wtmp1 (ніяких інших файлів, таких як wtmp2 тощо в / var / log), якщо я хочу, щоб моя система зберігала більше інформації, як я можу змінити системні налаштування за замовчуванням. Для цієї мети?
водний камінь
Створіть нове запитання, щоб висвітлити, скільки обертань слід архівувати.
Сільвен Пано
1

Якщо останній -f /var/log/wtmp.1не дає жодного результату, це може бути тому, що, наприклад, довжина запису змінилася в новій версії.

Простий варіант буде тоді використовувати utmpdump замість цього:

utmpdump /var/log/wtmp.1  | less

О, і lessможна qкинути його, використовуючи (від "кинути" ;-))

Кіс
джерело
Майте свої перші 10 балів будь-коли, через 1 рік!
WinEunuuchs2Unix
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.