Cómo encontrar quién inició sesión antes de comenzar wtmp

17

Estoy tratando de determinar quién inició sesión recientemente en una máquina específica en mi oficina. Así que solía last, pero wtmp comienza ayer (lunes) alrededor de las 14:30. Esperaba encontrar información que se remontara al domingo, al menos. ¿Hay alguna forma de obtener esa información sin atravesar el archivo de registro de autorización?

thepocketwade
fuente

Respuestas:

26

Presumiblemente su archivo wtmp ha sido rotado, así que intente last -f /var/log/wtmp.1o last -f /var/log/wtmp.0lea los archivos anteriores. Si esos no funcionan, ls /var/log/wtmp*y ver si se llaman de otra manera. Si están comprimidos ( .gzextensión), descomprímalos.

Si no están allí, encuentre a quien haya configurado el esquema de rotación de bollocks y dele un golpe sólido a los pantalones. No hay razón para no guardar al menos unas pocas semanas de wtmpregistros.

womble
fuente
1
Realmente debería haber visto esos archivos rotados en / var / log, no sé cómo los perdí.
thepocketwade el
3

Si los archivos wtmp no están disponibles, también puede mirar directamente en / var / log / secure o / var / log / messages para ver cualquier mensaje de inicio de sesión allí.

sucursales
fuente
Pensé en eso, pero en realidad es más trabajo del que quería hacer.
thepocketwade el