Làm cách nào để đọc thông tin đăng nhập cũ hơn bằng cách sử dụng lệnh Lần cuối cùng của Wap?

12

Các lastlệnh có thể hiển thị quá vài dòng thông tin người dùng đăng nhập, cắt ngắn bởi khi “wtmp bắt đầu”.

Nếu tôi muốn nhận được càng nhiều lastthông tin càng tốt (ví dụ: để xem hệ thống của tôi có được truy cập từ bất kỳ IP không xác định / đáng ngờ nào bằng tên người dùng của tôi không), làm cách nào tôi có thể xuất thông tin cũ hơn trước

Nếu tôi sử dụng last -2000, dự định sẽ thấy 2000 dòng đầu ra, nhưng lệnh chỉ có thể trả về một vài dòng, bất cứ điều gì xảy ra trước khi wtmp bắt đầu xuất hiện sẽ bị cắt ngắn.)

Chỉ cần tự hỏi bằng cách nào đó nếu có thể xuất ra càng nhiều dòng thông tin đăng nhập càng tốt.

command-line 
nươc đá
nguồn
last -ocó thể giúp. Trang người đàn ông nói rằng nó đọc các tập tin wtmp cũ. Nhưng trên hệ thống của tôi, nó không cung cấp nhiều thông tin. Mặc dù, wtmp beginsđặt vào ngày 1 tháng 1 năm 1970.
udiboy1209
1
thật buồn cười nếu bạn có nhiều thông tin đăng nhập kể từ năm 1970 so với những gì được hiển thị trong nhật ký của bạn, thì một số cài đặt có thể không chính xác.
đá nước

Câu trả lời:

16

Các lastlệnh sử dụng các tập tin nhị phân /var/log/wtmpđể hiển thị một danh sách các lần đăng nhập cuối trong người sử dụng.

Nhưng /var/log/wtmplà một tệp được xoay trong đó các mục cũ được lưu trữ trong /var/log/wtmp.xđó x là một chữ số [0-9].

Vì vậy, nếu bạn cần nhìn sâu hơn vào lịch sử đăng nhập, hãy thử mở một trong những tệp đó:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
nguồn
1
Để đọc 2000 dòng trong terminal nó là tốt hơn để vượt qua nó để lesslàm last -2000 -f /var/log/wtmp.1| less, 1 cho câu trả lời đẹp
souravc
Ý kiến ​​hay, cảm ơn @souravc. Tôi đã chỉnh sửa câu trả lời của mình.
Sylvain Pineau
Cảm ơn bạn rất nhiều! Tôi nhận thấy rằng tệp wtmp.1 đã tự động được nén vào tệp wtmp.1.gz, vì vậy tôi đã giải nén nó và sử dụng "last -f" để đọc, đó chính xác là những gì tôi cần. Cảm ơn bạn rất nhiều. Btw, wtmp.1 dường như vẫn còn quá gần đây và tôi chỉ có tệp wtmp1 (không có tệp nào khác như wtmp2 vv trong / var / log), nếu tôi muốn hệ thống của mình lưu trữ thêm thông tin, làm cách nào tôi có thể thay đổi cài đặt hệ thống mặc định vì mục đích này?
đá nước
Vui lòng tạo một câu hỏi mới để bao gồm số lần quay nên được lưu trữ.
Sylvain Pineau
1

Nếu cái cuối cùng -f /var/log/wtmp.1không cung cấp bất kỳ đầu ra nào thì điều này có thể là vì ví dụ: độ dài bản ghi đã thay đổi trong phiên bản mới hơn.

Thay vào đó, một tùy chọn đơn giản sẽ sử dụng utmpdump:

utmpdump /var/log/wtmp.1  | less

Ồ, và lesscó thể được bỏ bằng cách sử dụng q(từ "thoát" ;-))

Kees
nguồn
Có 10 điểm đầu tiên của bạn, 1 năm sau!
WinEunuuchs2Unix
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.