我们有一台服务器,我尝试检查命令的输出last。
对于系统中的大多数用户来说,最后一个命令是有效的。
当涉及 root 或其他用户时,输出last如下:
wtmp begins Fri Dec 9 07:14:25 2017
我尝试登录和注销所有用户以查看捕获的内容,这仍然是输出。
我想了解是否有人修改了日志,或者这是否正常?
答案1
命令显示的信息last存储在wtmp文件中,该文件通常位于/var/log/wtmp.
由于在系统使用过程中该文件的增长没有任何上限,因此大多数 Linux 发行版的默认配置将为此文件实现自动日志轮换过程。
默认轮换/var/log/wtmp可能是每周或每月。通常,文件的一些旧版本保留为/var/log/wtmp.1等/var/log/wtmp.2。在某些发行版中,使用日期戳而不是递增的数字。
如果您需要last先前日志轮换周期的输出,请使用该-f选项将last命令指向旧版本的 wtmp 文件。例如:
last -f /var/log/wtmp.1
如果您想更改 wtmp 文件的日志轮换周期,或者告诉系统保留大量以前的版本,请查看文件/etc/logrotate.conf-/etc/logrotate.d/*这些是通常定义日志轮换过程的地方。
答案2
在我的(Ubuntu)系统上也是如此,我(推测?)认为它未被篡改。如果时间戳是您上次启动系统的时间,这可能是正常的。这可能与发行版相关(在 Ubuntu(工作站)上 root 永远不会登录...)。
并非所有系统更改操作都会在 wtmp/last 中生成一个条目,如果有 SSH 访问,您可以通过 SFTP 访问文件,并且这些连接由 /var/log/auth.log 跟踪