Costumo usar o lastcomando para verificar se há logins não autorizados em meus sistemas, este comando:
last -Fd
me dá os logins onde tenho logins remotos exibidos com ip.
De man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
Pergunta:
Um dos meus sistemas mostra apenas alguns dias de logins. Por que é que? O que posso fazer quando lastme dá apenas alguns dias?
Aqui está a saída em questão:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
Responder1
É provável que logrotatetenha arquivado o(s) log(s) de interesse e aberto um novo. Se você tiver wtmparquivos mais antigos, especifique um deles, como por exemplo:
last -f /var/log/wtmp-20141001
Responder2
O comando 'last' lê dados do arquivo /var/log/wtmp. Se você tiver o serviço logrotate ativado, ele provavelmente girará o arquivo wtmp. Verifique se você possui o arquivo wtmp.1 ou wtmp.1.gz dentro do diretório /var/log. Se você tiver (ou algo mais semelhante com os próximos números: wtmp.2 wtmp.3, etc), significa que o log do wtmp foi girado. Então você pode ajustar/desabilitar a rotação ou usar o comando 'last -f wtmp_file' para verificar dados mais antigos.
Responder3
Como sugerido porSlmvocê pode usar :
$ lastlog -b 0 -t 100
Para descobrir os usuários que fizeram login em um sistema nos últimos 100 dias.