lastคำสั่งอาจแสดงไม่กี่บรรทัดเกินไปของข้อมูลเข้าสู่ระบบของผู้ใช้โดยตัดทอนเมื่อ“wtmp เริ่มต้น”

หากฉันต้องการได้รับข้อมูลมากที่สุดlast(เช่นเพื่อดูว่าระบบของฉันเข้าถึงจาก IP ที่ไม่รู้จัก / น่าสงสัยโดยใช้ชื่อผู้ใช้ของฉัน) ฉันจะส่งออกข้อมูล "ล่าสุด" ที่เก่ากว่าได้อย่างไร

หากฉันใช้last -2000ตั้งใจที่จะเห็นเอาต์พุต 2,000 บรรทัด แต่คำสั่งอาจส่งคืนได้เพียงไม่กี่บรรทัดสิ่งใดก็ตามที่เกิดขึ้นก่อนที่“ wtmp เริ่มต้น” จะถูกตัดทอน)

แค่สงสัยว่ามันเป็นไปได้หรือไม่ที่จะส่งออกข้อมูลการเข้าสู่ระบบให้มากที่สุด

lastคำสั่งใช้แฟ้มไบนารี/var/log/wtmpที่จะแสดงรายชื่อของสู่ระบบครั้งล่าสุดผู้ใช้

แต่/var/log/wtmpเป็นไฟล์ที่หมุนที่รายการเก่าจะถูกเก็บเข้า/var/log/wtmp.xที่ x [0-9]คือหลัก

ดังนั้นหากคุณต้องการมองลึกลงไปในประวัติการเข้าสู่ระบบให้ลองเปิดไฟล์ใดไฟล์หนึ่งต่อไปนี้:

last -2000 -f /var/log/wtmp.1 | less

หากสุดท้าย-f /var/log/wtmp.1ไม่ได้ให้ผลลัพธ์ใด ๆ อาจเป็นเพราะเช่นความยาวของเรคคอร์ดมีการเปลี่ยนแปลงในเวอร์ชั่นที่ใหม่กว่า

ตัวเลือกง่ายๆก็คือการใช้ utmpdump แทน:

utmpdump /var/log/wtmp.1  | less

โอ้และlessสามารถเลิกใช้โดยใช้q(จาก "ออกจาก" ;-))

ปรับปรุง

เข้าสู่ระบบ

/var/log/wtmp.1

มีข้อ จำกัด

Ubuntu 16และ17อาจมีกลไกในการลบบันทึกเก่ากว่าหนึ่งเดือน ในการกำหนดค่าพฤติกรรมนี้คุณควรแก้ไข:

/etc/logrotate.conf

ข้อมูลเพิ่มเติม:

เข้าถึงบันทึกการเริ่มต้นและปิด