Я часто использую эту lastкоманду для проверки своих систем на предмет несанкционированных входов:
last -Fd
дает мне логины, где у меня есть удаленные логины, отображаемые с IP.
От man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
Вопрос:
Одна из моих систем показывает только несколько дней входа. Почему так? Что я могу сделать, когда lastмне дают всего несколько дней?
Вот обсуждаемый вывод:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
решение1
Вероятно, что logrotateархивировал интересующий(е) журнал(ы) и открыл новый. Если у вас есть старые wtmpфайлы, укажите один из них, например:
last -f /var/log/wtmp-20141001
решение2
Команда 'last' считывает данные из файла /var/log/wtmp. Если у вас включена служба logrotate, она, вероятно, ротирует файл wtmp. Проверьте, есть ли у вас файл wtmp.1 или wtmp.1.gz внутри каталога /var/log. Если он у вас есть (или что-то похожее со следующими номерами: wtmp.2 wtmp.3 и т. д.), это означает, что журнал wtmp ротируется. Затем вы можете настроить/отключить ротацию или использовать команду 'last -f wtmp_file' для проверки старых данных.
решение3
Как и предполагалСлмвы можете использовать :
$ lastlog -b 0 -t 100
Чтобы узнать, какие пользователи входили в систему за последние 100 дней.