Как прочитать старую информацию для входа с помощью команды «last»?

14

Команда lastможет показывать слишком мало строк информации для входа в систему пользователя, усеченной после начала «wtmp».

Если я хочу получить как можно больше lastинформации (например, чтобы узнать, был ли доступ к моей системе с любого неизвестного / подозрительного IP-адреса с использованием моего имени пользователя), как я могу вывести более старую «последнюю» информацию?

Если я использую last -2000, намереваясь увидеть 2000 строк вывода, но команда может вернуть только несколько строк, все, что произошло до того, как «wtmp начнется», будет усечено.)

Просто интересно, как можно вывести как можно больше строк информации для входа в систему.

command-line водный камень
источник
last -oможет помочь. Страница man говорит, что она читает старые файлы wtmp. Но в моей системе это не дает много информации. Хотя wtmp beginsустанавливается 1 января 1970 года.
udiboy1209
1
это смешно. если с 1970 года у вас больше логинов, чем указано в вашем журнале, то некоторые настройки могут быть неверными.
водный камень

Ответы:

17

Команда lastиспользует двоичный файл, /var/log/wtmpчтобы показать список последних зарегистрированных пользователей.

Но /var/log/wtmpэто повернутый файл, в котором старые записи архивируются в /var/log/wtmp.xгде х - это цифра [0-9].

Так что если вам нужно заглянуть глубже в историю входа, попробуйте открыть один из этих файлов:

last -2000 -f /var/log/wtmp.1 | less
Сильвен Пино
источник
1
Чтобы прочитать строку 2000 в терминале, лучше передать ее lessкак as last -2000 -f /var/log/wtmp.1| less, +1 для хорошего ответа
souravc
Хорошая идея, спасибо @souravc. Я отредактировал свой ответ.
Сильвен Пино
Огромное спасибо! Я заметил, что файл wtmp.1 автоматически распаковывается в файл wtmp.1.gz, поэтому я разархивировал его и использовал «last -f» для чтения, это именно то, что мне было нужно. Огромное спасибо. Кстати, wtmp.1 кажется еще слишком новым, и у меня есть только файл wtmp1 (никаких других файлов, таких как wtmp2 и т. Д. В / var / log), если я хочу, чтобы моя система сохраняла больше информации, как я могу изменить настройки системы по умолчанию для этого?
водный камень
Пожалуйста, создайте новый вопрос, чтобы охватить, сколько вращений должно быть заархивировано.
Сильвен Пино
1

Если последний -f /var/log/wtmp.1не дает никакого вывода, это может быть потому, что, например, длина записи изменилась в более новой версии.

Тогда можно просто использовать utmpdump:

utmpdump /var/log/wtmp.1  | less

Да, и lessможно выйти, используя q(из "quit" ;-))

Kees
источник
Получите свои первые 10 баллов, 1 год спустя!
WinEunuuchs2Unix
0

Обновить

Вход в систему 

/var/log/wtmp.1

ограничены.

Ubuntu 16 и, вероятно, 17 имеют механизм удаления журналов старше одного месяца. Чтобы настроить это поведение, вы должны отредактировать:

/etc/logrotate.conf

Больше информации:

Доступ к журналам запуска и выключения

Даниил
источник