“마지막”명령을 사용하여 이전 로그인 정보를 읽는 방법은 무엇입니까? 수없는 / 의심스러운

last명령은“wtmp가 시작될 때 잘릴 수있는 너무 적은 행의 사용자 로그인 정보를 표시 할 수 있습니다.

가능한 한 많은 last정보 를 얻으려면 (예 : 내 사용자 이름을 사용하여 알 수없는 / 의심스러운 IP에서 시스템에 액세스했는지 확인하려면) 이전 “마지막”정보를 어떻게 출력 할 수 있습니까?

last -20002000 줄의 출력을 보려고하지만를 사용하는 경우 명령은 단지 몇 줄만 반환 할 수 있습니다.“wtmp 시작”이전에 발생한 모든 내용이 잘립니다.)

가능한 한 많은 로그인 정보를 출력 할 수 있는지 궁금합니다.



답변

last명령은 이진 파일 /var/log/wtmp을 사용하여 마지막으로 로그인 한 사용자 목록을 표시합니다.

그러나 /var/log/wtmp오래된 항목이 /var/log/wtmp.xx가 숫자 인 곳에 보관 된 회전 된 파일 [0-9]입니다.

따라서 로그인 기록을 자세히 살펴 보려면 해당 파일 중 하나를 열어보십시오.

last -2000 -f /var/log/wtmp.1 | less

답변

마지막 -f /var/log/wtmp.1이 출력을 제공하지 않으면 레코드 길이가 최신 버전에서 변경 되었기 때문일 수 있습니다.

간단한 옵션은 대신 utmpdump를 사용하는 것입니다.

utmpdump /var/log/wtmp.1  | less

아, ( “quit”;-)을 less사용하여 q종료 할 수 있음 )


답변

최신 정보

로그인

/var/log/wtmp.1

제한되어 있습니다.

우분투 1617 은 한 달보다 오래된 로그를 삭제하는 메커니즘을 가지고 있습니다. 이 동작을 구성하려면 편집해야합니다.

/etc/logrotate.conf

더 많은 정보:

시작 로그에 액세스하고 종료