Tôi đang cố xác định ai mới đăng nhập vào một máy cụ thể trong văn phòng của tôi. Vì vậy, tôi đã sử dụng last, nhưng wtmp bắt đầu vào ngày hôm qua (Thứ Hai) vào khoảng 14:30. Tôi đã hy vọng tìm thấy thông tin kéo dài đến Chủ nhật, ít nhất. Có cách nào để có được thông tin đó mà không cần thông qua tệp nhật ký ủy quyền không?
Câu trả lời:
Có lẽ tệp wtmp của bạn đã được xoay, vì vậy hãy thử last -f /var/log/wtmp.1hoặc last -f /var/log/wtmp.0đọc các tệp trước đó. Nếu chúng không hoạt động, ls /var/log/wtmp*và xem nếu chúng được gọi là cái gì khác. Nếu chúng bị nén ( .gztiện ích mở rộng), hãy giải nén chúng.
Nếu họ không ở đó, hãy tìm bất cứ ai thiết lập sơ đồ xoay vòng của bollocks và cho họ một cú đấm chân vững chắc vào các pantaloon. Không có lý do gì để không lưu giữ ít nhất một vài tuần wtmpnhật ký.
Nếu các tệp wtmp không có sẵn, bạn cũng có thể xem trực tiếp / var / log / safe hoặc / var / log / message để xem bất kỳ thông điệp đăng nhập nào trong đó.