Estoy tratando de determinar quién inició sesión recientemente en una máquina específica en mi oficina. Así que solía last, pero wtmp comienza ayer (lunes) alrededor de las 14:30. Esperaba encontrar información que se remontara al domingo, al menos. ¿Hay alguna forma de obtener esa información sin atravesar el archivo de registro de autorización?
Presumiblemente su archivo wtmp ha sido rotado, así que intente last -f /var/log/wtmp.1o last -f /var/log/wtmp.0lea los archivos anteriores. Si esos no funcionan, ls /var/log/wtmp*y ver si se llaman de otra manera. Si están comprimidos ( .gzextensión), descomprímalos.
Si no están allí, encuentre a quien haya configurado el esquema de rotación de bollocks y dele un golpe sólido a los pantalones. No hay razón para no guardar al menos unas pocas semanas de wtmpregistros.
Si los archivos wtmp no están disponibles, también puede mirar directamente en / var / log / secure o / var / log / messages para ver cualquier mensaje de inicio de sesión allí.
fuente