.png)
Theпоследнийкоманда показывает нам, какие пользователи вошли в систему, но как мне найти файл, который эта команда последнийчитает и обрабатывает его?
решение1
Проверить, какие файлы открываются заданной программой, можно с помощью strace следующим образом:
$ strace last |& grep open
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
open("/var/log/wtmp", O_RDONLY) = 3
open("/etc/localtime", O_RDONLY|O_CLOEXEC) = 4
Файл, который вы ищете, — /var/log/wtmp. Подробнее о нем можно прочитать в man 5 wtmp.