Comment lire des informations de connexion plus anciennes en utilisant la commande «last»?

12

La lastcommande peut afficher trop peu de lignes d'informations de connexion utilisateur, tronquées lorsque le «wtmp commence».

Si je veux obtenir autant d' lastinformations que possible (par exemple, pour voir si mon système a été accédé à partir d'une adresse IP inconnue / suspecte en utilisant mon nom d'utilisateur), comment puis-je sortir les anciennes "dernières" informations?

Si j'utilise last -2000, avec l'intention de voir 2000 lignes de sortie, mais que la commande ne peut renvoyer que quelques lignes, tout ce qui s'est passé avant le «wtmp commence» serait tronqué.)

Je me demande simplement s'il est possible de générer autant de lignes d'informations de connexion que possible.

command-line pierre à eau
la source
last -opourrait aider. La page de manuel indique qu'il lit les anciens fichiers wtmp. Mais sur mon système, cela ne donne pas beaucoup d'informations. Bien que le wtmp begins1er janvier 1970.
udiboy1209
1
Ca c'est drôle. si vous avez plus de connexions depuis 1970 que ce qui est indiqué dans votre journal, certains paramètres peuvent être incorrects.
pierre à eau

Réponses:

16

La lastcommande utilise le fichier binaire /var/log/wtmppour afficher une liste des derniers utilisateurs connectés.

Mais /var/log/wtmpc'est un fichier tourné où les anciennes entrées sont archivées dans /var/log/wtmp.xoù x est un chiffre [0-9].

Donc, si vous devez regarder plus en profondeur dans l'historique de connexion, essayez d'ouvrir l'un de ces fichiers:

last -2000 -f /var/log/wtmp.1 | less
Sylvain Pineau
la source
1
Pour lire 2000 lignes dans le terminal, il est préférable de le passer à lessas last -2000 -f /var/log/wtmp.1| less, +1 pour une bonne réponse
souravc
Bonne idée, merci @souravc. J'ai édité ma réponse.
Sylvain Pineau
Merci beaucoup! J'ai remarqué que le fichier wtmp.1 était automatiquement compressé dans le fichier wtmp.1.gz, alors je l'ai décompressé et j'ai utilisé "last -f" pour lire, c'est exactement ce dont j'avais besoin. Merci beaucoup. Btw, le wtmp.1 semble encore trop récent, et je n'ai que le fichier wtmp1 (pas d'autres fichiers tels que wtmp2 etc dans / var / log), si je veux que mon système stocke plus d'informations, comment puis-je changer le paramètre système par défaut dans ce but?
pierre à eau
Veuillez créer une nouvelle question pour couvrir le nombre de rotations à archiver.
Sylvain Pineau
1

Si le dernier -f /var/log/wtmp.1ne donne aucune sortie, cela peut être dû au fait, par exemple, que la longueur d'enregistrement a changé dans une version plus récente.

Une option simple serait alors d'utiliser utmpdump à la place:

utmpdump /var/log/wtmp.1  | less

Oh, et lesspeut être quitté en utilisant q(à partir de "quitter" ;-))

Kees
la source
Obtenez vos 10 premiers points, 1 an plus tard!
WinEunuuchs2Unix
0

Mettre à jour

Se connecte 

/var/log/wtmp.1

sont contraints.

Ubuntu 16 et probablement 17 ont un mécanisme de suppression des journaux datant de plus d'un mois. Pour configurer ce comportement, vous devez modifier:

/etc/logrotate.conf

Plus d'informations:

Accès aux journaux de démarrage et d'arrêt

Daniel
la source