就像标题所说,我登录到我的服务器,我注意到last
似乎lastb
在新年后的 00:48 之前的某个时间被重置了。
这是有意将其重置,还是仅显示当前年份的?或者我应该担心有人访问了我的服务器吗?
我确实有从我的网络转发的 SSH 和 HTTP 端口 - 所以它是一个实时服务器。
答案1
last
和命令分别lastb
读取/var/log/wtmp
和/var/log/btmp
。这些日志根据和logrotate
中配置的轮换。两个感兴趣的文件的轮换由主配置文件管理。因为我有:/etc/logrotate.conf
/etc/logrotate.d
/var/log/wtmp
/var/log/wtmp {
missingok
monthly
create 0664 root utmp
rotate 1
}
这意味着每个月/var/log/wtmp
都会移动到/var/log/wtmp.1
。因此,无需担心 - 要访问旧日志,只需执行以下操作:
last -f /var/log/wtmp.1