我经常使用该last命令来检查我的系统是否有未经授权的登录,该命令:
last -Fd
给我登录信息,其中我有显示 ip 的远程登录信息。
从man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
问题:
我的一个系统只显示几天的登录情况。这是为什么?last只给我几天时间我能做什么?
这是有问题的输出:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
答案1
很可能logrotate已经归档了感兴趣的日志并打开了一个新日志。如果您有较旧的wtmp文件,请指定其中之一,例如:
last -f /var/log/wtmp-20141001
答案2
“last”命令从 /var/log/wtmp 文件读取数据。如果您启用了 logrotate 服务,它可能会轮换 wtmp 文件。检查 /var/log 目录中是否有 wtmp.1 或 wtmp.1.gz 文件。如果您有它(或者与下一个数字更相似:wtmp.2 wtmp.3 等),则意味着 wtmp 日志已轮换。然后您可以调整/禁用旋转或使用“last -f wtmp_file”命令检查较旧的数据。