我正在尝试确定最近谁登录了我办公室中的特定机器。因此我使用了last,但 wtmp 从昨天(星期一)下午 14:30 左右开始。我希望至少找到可以追溯到星期日的信息。有没有办法在不仔细查看授权日志文件的情况下获取该信息?
答案1
您的 wtmp 文件可能已被旋转,因此请尝试last -f /var/log/wtmp.1或last -f /var/log/wtmp.0读取以前的文件。如果这些不起作用,ls /var/log/wtmp*请查看它们是否被命名为其他名称。如果它们是压缩的(.gz扩展名),请解压缩它们。
如果他们不在,就找到制定轮换计划的人,给他们一记重拳。没有理由不保留至少几周的wtmp记录。
答案2
如果 wtmp 文件不可用,您也可以直接查看 /var/log/secure 或 /var/log/messages 以查看其中的任何登录消息。