Как узнать, кто вошел в систему до начала wtmp

17

Я пытаюсь определить, кто недавно вошел в определенную машину в моем офисе. Так что я использовал last, но wtmp начинается вчера (понедельник) около 14:30. Я надеялся найти информацию, уходящую в воскресенье, по крайней мере. Есть ли способ получить эту информацию без использования файла журнала авторизации?

thepocketwade
источник

Ответы:

26

Предположительно ваш файл wtmp был повернут, поэтому попробуйте last -f /var/log/wtmp.1или last -f /var/log/wtmp.0прочитайте предыдущие файлы. Если они не работают, ls /var/log/wtmp*и посмотрите, называются ли они чем-то другим. Если они сжаты ( .gzрасширение), распакуйте их.

Если их там нет, найдите того, кто настроит схему вращения боллоков, и нанесите им сильный удар ногой в панталоны. Нет причин не хранить wtmpжурналы хотя бы на несколько недель .

romble
источник
1
Я действительно должен был видеть эти повернутые файлы в / var / log, я не знаю, как я их пропустил.
thepocketwade
3

Если файлы wtmp недоступны, вы также можете посмотреть непосредственно в / var / log / secure или / var / log / messages, чтобы увидеть там любое входящее сообщение.

sucuri
источник
Я думал об этом, но на самом деле это больше работы, чем я хотел.
thepocketwade