A menudo uso el lastcomando para verificar mis sistemas en busca de inicios de sesión no autorizados, este comando:
last -Fd
me da los inicios de sesión donde tengo inicios de sesión remotos que se muestran con ip.
De man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
Pregunta:
Uno de mis sistemas solo muestra inicios de sesión de unos pocos días. ¿Porqué es eso? ¿Qué puedo hacer cuando lastsolo me dan unos días?
Aquí está el resultado en cuestión:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
Respuesta1
Es probable que logrotatehaya archivado los registros de interés y haya abierto uno nuevo. Si tiene wtmparchivos más antiguos, especifique uno de ellos, como por ejemplo:
last -f /var/log/wtmp-20141001
Respuesta2
El comando 'último' lee datos del archivo /var/log/wtmp. Si tiene habilitado el servicio logrotate, probablemente gire el archivo wtmp. Compruebe si tiene el archivo wtmp.1 o wtmp.1.gz dentro del directorio /var/log. Si lo tiene (o más similar con los siguientes números: wtmp.2 wtmp.3, etc.) significa que el registro wtmp está rotado. Luego puede ajustar/deshabilitar la rotación o usar el comando 'last -f wtmp_file' para verificar datos más antiguos.
Respuesta3
Como lo sugiereSlmpuedes usar :
$ lastlog -b 0 -t 100
Conocer los usuarios que han iniciado sesión en un sistema en los últimos 100 días.