Um meine Systeme auf unberechtigte Anmeldungen zu prüfen, verwende ich häufig diesen lastBefehl:
last -Fd
gibt mir die Logins, bei denen meine Remote-Logins mit IP angezeigt werden.
Aus man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
Frage:
Eines meiner Systeme zeigt nur die Anmeldungen von wenigen Tagen an. Warum ist das so? Was kann ich tun, wenn lastmir nur wenige Tage angezeigt werden?
Hier ist die betreffende Ausgabe:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
Antwort1
Wahrscheinlich logrotatehat er die betreffenden Protokolle archiviert und ein neues geöffnet. Wenn Sie ältere wtmpDateien haben, geben Sie eine davon an, zum Beispiel:
last -f /var/log/wtmp-20141001
Antwort2
Der Befehl „last“ liest Daten aus der Datei /var/log/wtmp. Wenn Sie den Dienst „logrotate“ aktiviert haben, rotiert er wahrscheinlich die wtmp-Datei. Überprüfen Sie, ob Sie die Datei wtmp.1 oder wtmp.1.gz im Verzeichnis /var/log haben. Wenn Sie sie haben (oder eine ähnlichere Datei mit den folgenden Zahlen: wtmp.2, wtmp.3 usw.), bedeutet dies, dass das wtmp-Protokoll rotiert wird. Dann können Sie die Rotation anpassen/deaktivieren oder den Befehl „last -f wtmp_file“ verwenden, um ältere Daten zu überprüfen.
Antwort3
Wie vorgeschlagen vonSlmSie können verwenden:
$ lastlog -b 0 -t 100
Um die Benutzer herauszufinden, die sich in den letzten 100 Tagen bei einem System angemeldet haben.