该last命令可能显示的用户登录信息行数太少,在“wtmp 开始”时被截断。
如果我想获取尽可能多的last信息(例如,查看是否有任何未知/可疑 IP 使用我的用户名访问我的系统),我该如何输出较早的“最后”信息?
如果我使用last -2000,想要查看 2000 行输出,但命令可能只返回几行,那么在“wtmp 开始”之前发生的任何事情都会被截断。)
只是想知道是否可以输出尽可能多的登录信息行。
答案1
该last命令使用二进制文件/var/log/wtmp显示最后登录的用户列表。
但是/var/log/wtmp是一个旋转文件,其中旧条目被存档到/var/log/wtmp.x其中 x 是一个数字[0-9]。
因此,如果您需要更深入地了解登录历史记录,请尝试打开其中一个文件:
last -2000 -f /var/log/wtmp.1 | less
答案2
如果最后-f /var/log/wtmp.1没有给出任何输出,这可能是因为记录长度在较新版本中已发生改变。
一个简单的选择是使用 utmpdump:
utmpdump /var/log/wtmp.1 | less
哦,可以用(来自“quit”;-))less退出q
答案3
更新
登录
/var/log/wtmp.1
受到限制。
Ubuntu16并且可能17有删除一个月以上日志的机制。要配置此行为,您应该编辑:
/etc/logrotate.conf
更多信息: