Próbuję ustalić, kto ostatnio był zalogowany na określonej maszynie w moim biurze. Więc użyłem last, ale wtmp zaczyna się wczoraj (poniedziałek) około 14:30. Miałem nadzieję znaleźć informacje sięgające przynajmniej do niedzieli. Czy w ogóle można uzyskać te informacje bez konieczności przeszukiwania pliku dziennika autoryzacji?
Odpowiedzi:
Prawdopodobnie Twój plik wtmp został obrócony, więc spróbuj last -f /var/log/wtmp.1lub last -f /var/log/wtmp.0przeczytaj poprzednie pliki. Jeśli te nie działają ls /var/log/wtmp*i sprawdź, czy są nazywane czymś innym. Jeśli są skompresowane ( .gzrozszerzenie), rozpakuj je.
Jeśli ich tam nie ma, znajdź tego, kto ustawił schemat rotacji bollocków i daj im solidne uderzenie w pantalony. Nie ma powodu, aby nie przechowywać przynajmniej kilku tygodni wtmpdzienników.
Jeśli pliki wtmp nie są dostępne, możesz również spojrzeć bezpośrednio na / var / log / secure lub / var / log / messages, aby zobaczyć tam dowolny komunikat logowania.