나는 종종 last시스템에 무단 로그인이 있는지 확인하기 위해 다음 명령을 사용합니다.
last -Fd
ip로 표시된 원격 로그인이 있는 로그인을 제공합니다.
에서 man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
질문:
내 시스템 중 하나에 며칠 분량의 로그인만 표시됩니다. 왜 그런 겁니까? last나에게 며칠밖에 시간이 주어지지 않으면 어떻게 해야 합니까 ?
문제의 출력은 다음과 같습니다.
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
답변1
logrotate관심 있는 로그를 보관하고 새 로그를 열었을 가능성이 높습니다 . 오래된 파일이 있는 경우 wtmp다음과 같이 그 중 하나를 지정합니다.
last -f /var/log/wtmp-20141001
답변2
'last' 명령은 /var/log/wtmp 파일에서 데이터를 읽습니다. logrotate 서비스를 활성화한 경우 아마도 wtmp 파일을 회전시킬 것입니다. /var/log 디렉토리에 wtmp.1 또는 wtmp.1.gz 파일이 있는지 확인하세요. 해당 항목이 있는 경우(또는 다음 숫자와 더 유사: wtmp.2 wtmp.3 등) 이는 wtmp 로그가 회전됨을 의미합니다. 그런 다음 회전을 조정/비활성화하거나 'last -f wtmp_file' 명령을 사용하여 이전 데이터를 확인할 수 있습니다.