ฉันพยายามที่จะตรวจสอบว่าใครเพิ่งเข้าสู่ระบบเฉพาะเครื่องในสำนักงานของฉัน ดังนั้นฉันจึงใช้lastแต่ wtmp เริ่มเมื่อวานนี้ (วันจันทร์) ประมาณ 14:30 น. อย่างน้อยฉันก็หวังว่าจะพบข้อมูลยืดกลับไปถึงวันอาทิตย์ อย่างไรก็ตามมีการรับข้อมูลดังกล่าวโดยไม่ต้องผ่านทางไฟล์บันทึกการอนุญาตหรือไม่
คำตอบ:
สันนิษฐานไฟล์ wtmp ของคุณได้รับการหมุนจึงพยายามlast -f /var/log/wtmp.1หรือlast -f /var/log/wtmp.0การอ่านไฟล์ก่อนหน้า หากสิ่งเหล่านี้ไม่ได้ผลls /var/log/wtmp*และดูว่าพวกเขากำลังเรียกสิ่งอื่นหรือไม่ หากพวกมันถูกบีบอัด ( .gzส่วนขยาย) ให้ขยายขนาดพวกมัน
หากพวกเขาไม่ได้อยู่ที่นั่นหาใครตั้งค่ารูปแบบการหมุน bollocks และให้พวกเขาเจาะเท้าที่มั่นคงกับ pantaloons ไม่มีเหตุผลที่จะไม่ให้อย่างน้อยไม่กี่สัปดาห์ที่ผ่านมาของการไม่ได้wtmpบันทึก
หากไฟล์ wtmp ไม่พร้อมใช้งานคุณสามารถดู / var / log / secure หรือ / var / log / messages โดยตรงเพื่อดูข้อความล็อกอินใด ๆ ในนั้น