¿Cómo leer información de inicio de sesión anterior utilizando el comando "último"?

12

El lastcomando puede mostrar muy pocas líneas de información de inicio de sesión del usuario, truncadas cuando comienza el "wtmp".

Si deseo obtener la mayor cantidad de lastinformación posible (p. Ej., Para ver si se accedió a mi sistema desde cualquier IP desconocida / sospechosa usando mi nombre de usuario), ¿cómo puedo generar la información "anterior" más antigua?

Si lo uso last -2000, con la intención de ver 2000 líneas de salida, pero el comando solo puede devolver unas pocas líneas, cualquier cosa que sucedió antes de que comience el "wtmp" se truncaría).

Me pregunto de alguna manera si es posible generar tantas líneas de información de inicio de sesión como sea posible.

command-line piedra de agua
fuente
last -opodría ayudar. La página del manual dice que lee los viejos archivos wtmp. Pero en mi sistema no da mucha información. Aunque, se wtmp beginsestablece el 1 de enero de 1970.
udiboy1209
1
eso es gracioso. si tiene más inicios de sesión desde 1970 que los que se muestran en su registro, entonces algunos ajustes pueden ser incorrectos.
piedra de agua

Respuestas:

16

El lastcomando usa el archivo binario /var/log/wtmppara mostrar una lista de los últimos usuarios registrados.

Pero /var/log/wtmpes un archivo rotado donde las entradas antiguas se archivan en /var/log/wtmp.xdonde x es un dígito [0-9].

Entonces, si necesita profundizar en el historial de inicio de sesión, intente abrir uno de esos archivos:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
fuente
1
Para leer la línea 2000 en el terminal es mejor pasarlo a lesscomo last -2000 -f /var/log/wtmp.1| less, por 1 respuesta agradable
souravc
Buena idea, gracias @souravc. He editado mi respuesta.
Sylvain Pineau
¡Muchas gracias! Noté que el archivo wtmp.1 se descomprimió automáticamente en el archivo wtmp.1.gz, así que lo descomprimí y usé "last -f" para leer, eso es exactamente lo que necesitaba. Muchas gracias. Por cierto, el wtmp.1 todavía parece demasiado reciente, y solo tengo el archivo wtmp1 (no hay otros archivos como wtmp2, etc. en / var / log), si quiero que mi sistema almacene más información, ¿cómo puedo cambiar la configuración predeterminada del sistema? ¿para este propósito?
piedra de agua
Cree una nueva pregunta para cubrir cuántas rotaciones deben archivarse.
Sylvain Pineau
1

Si el último -f /var/log/wtmp.1no proporciona ningún resultado, esto puede deberse a que, por ejemplo, la longitud del registro ha cambiado en una versión más nueva.

Una opción simple sería usar utmpdump en su lugar:

utmpdump /var/log/wtmp.1  | less

Ah, y lesspuede salir usando q(desde "salir" ;-))

Kees
fuente
¡Obtenga sus primeros 10 puntos, 1 año después!
WinEunuuchs2Unix
0

Actualizar

Inicia sesión 

/var/log/wtmp.1

están restringidos

Ubuntu 16 y probablemente 17 tienen un mecanismo para eliminar registros anteriores a un mes. Para configurar este comportamiento, debe editar:

/etc/logrotate.conf

Más información:

Acceso a registros de inicio y apagado

Daniel
fuente