Wie lese ich ältere Anmeldeinformationen mit dem Befehl "last"?

12

Der lastBefehl zeigt möglicherweise zu wenige Zeilen mit Benutzeranmeldeinformationen an, die abgeschnitten werden, wenn "wtmp beginnt".

lastWie kann ich die älteren "letzten" Informationen ausgeben, wenn ich so viele Informationen wie möglich erhalten möchte (z. B. um zu sehen, ob auf mein System von einer unbekannten / verdächtigen IP mit meinem Benutzernamen zugegriffen wurde)?

Wenn ich benutze last -2000, um 2000 Ausgabezeilen zu sehen, aber der Befehl möglicherweise nur wenige Zeilen zurückgibt, wird alles, was vor dem Start von "wtmp" passiert ist, abgeschnitten.)

Ich frage mich nur irgendwie, ob es möglich ist, so viele Zeilen mit Anmeldeinformationen wie möglich auszugeben.

command-line Wasser Stein
quelle
last -okönnte helfen. Die Manpage sagt, dass es alte wtmp-Dateien liest. Aber auf meinem System gibt es nicht viele Informationen. Obwohl, wtmp beginssetzt auf 1. Januar 1970.
udiboy1209
1
das ist lustig. Wenn Sie seit 1970 mehr Anmeldungen haben als in Ihrem Protokoll angegeben, sind einige Einstellungen möglicherweise falsch.
Wasserstein

Antworten:

16

Der lastBefehl verwendet die Binärdatei /var/log/wtmp, um eine Liste der zuletzt angemeldeten Benutzer anzuzeigen.

Es /var/log/wtmphandelt sich jedoch um eine gedrehte Datei, in der alte Einträge archiviert werden, /var/log/wtmp.xwobei x eine Ziffer ist [0-9].

Wenn Sie sich den Anmeldeverlauf genauer ansehen müssen, versuchen Sie, eine dieser Dateien zu öffnen:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
quelle
1
Um die Zeile 2000 im Terminal zu lesen, ist es besser, sie lessals last -2000 -f /var/log/wtmp.1| less+1 für eine nette Antwort zu übergeben
souravc
Gute Idee, danke @souravc. Ich habe meine Antwort bearbeitet.
Sylvain Pineau
Vielen Dank! Ich habe festgestellt, dass die Datei wtmp.1 automatisch in die Datei wtmp.1.gz komprimiert wurde, also habe ich sie entpackt und "last -f" zum Lesen verwendet. Genau das habe ich benötigt. Ich danke dir sehr. Übrigens scheint wtmp.1 noch zu aktuell zu sein, und ich habe nur die Datei wtmp1 (keine anderen Dateien wie wtmp2 usw. in / var / log). Wenn ich möchte, dass mein System weitere Informationen speichert, wie kann ich die Standardsystemeinstellung ändern? für diesen Zweck?
Wasserstein
Bitte erstellen Sie eine neue Frage, um zu ermitteln, wie viele Umdrehungen archiviert werden sollen.
Sylvain Pineau
1

Wenn der letzte -f /var/log/wtmp.1keine Ausgabe liefert, kann dies daran liegen, dass sich beispielsweise die Datensatzlänge in einer neueren Version geändert hat.

Eine einfache Option wäre dann, stattdessen utmpdump zu verwenden:

utmpdump /var/log/wtmp.1  | less

Oh, und lesskann mit beendet werden q(von "Beenden" ;-))

Kees
quelle
Haben Sie Ihre ersten 10 Punkte, 1 Jahr später!
WinEunuuchs2Unix
0

Aktualisieren

Loggt sich ein 

/var/log/wtmp.1

sind eingeschränkt.

Ubuntu 16 und wahrscheinlich 17 verfügen über einen Mechanismus zum Löschen von Protokollen, die älter als ein Monat sind. Um dieses Verhalten zu konfigurieren, sollten Sie Folgendes bearbeiten:

/etc/logrotate.conf

Mehr Info:

Zugriff auf Protokolle zum Starten und Herunterfahren

Daniel
quelle