Терминал OSX «последний» не показывает больше входов в систему до сегодняшнего дня

3

В Mac OSX 10.12.1, используя терминал 

last

не показывает логины до сегодняшнего дня? Я прочитал предыдущую статью и попытался 

sudo last

который раньше ничего не раскрывал.

macos  sierra  login  logs 
klanomath
источник
Из предыдущего респондента, который удалил свой комментарий, могло показаться, что это связано с тем, что журналы до сегодняшнего дня были сжаты .gz. В самом деле? Нет ли единой онлайн-возможности увидеть все логины в истории экземпляра OS X?
Каковы результаты syslog -k Sender login ?
fd0
Я удалил ответ, который был неправильным. В соответствии с man wtmp в macOS 10.12.1 «Эти файлы больше не существуют в 10.5 или более поздней версии. /var/run/utmp, /var/log/wtmp, /var/log/lastlog ».
Christopher
1
Результат системного журнала подтверждает то, что говорит Кристофер: NOTE: Most system logs have moved to a new logging system. See log(1) for more information.

Ответы:

2

last работает в Сьерре, как и во всех старых системах OS X, оборудованных ASL.

Вот пример Сьерра ВМ ( первый свет: установлено: 20 сентября 2016 г.): 

user  ttys001                       Fri Dec  9 02:31   still logged in
user  ttys000                       Fri Dec  9 02:30   still logged in
user  console                       Fri Dec  9 02:30   still logged in
...
reboot    ~                         Wed Sep 21 00:01 
user  console                       Tue Sep 20 22:18 - crash  (01:42)
reboot    ~                         Tue Sep 20 22:18 
user  ttys000                       Tue Sep 20 22:08 - crash  (00:09)
_mbsetupuser  console               Tue Sep 20 22:01 - crash  (00:17)
user  console                       Tue Sep 20 22:00 - crash  (00:17)
reboot    ~                         Tue Sep 20 21:59

Вы можете проверить любое неправильное поведение последней / ASL с помощью Terminal.app:

Откройте новую оболочку и введите sudo opensnoop -n last, затем откройте вкладку с T и введите last,

На первой вкладке вы должны получить что-то вроде: 

  UID    PID COMM          FD PATH                 
  501   7281 last           3 /dev/dtracehelper    
  501   7281 last           3 /var/log/asl         
  501   7281 last           4 /var/log/asl/2016.12.04.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.04.U0.asl 
  501   7281 last           5 /var/log/asl/2016.12.04.U501.asl 
  501   7281 last           6 /var/log/asl/2016.12.05.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.05.U0.asl 
  501   7281 last           7 /var/log/asl/2016.12.05.U501.asl 
  501   7281 last           8 /var/log/asl/2016.12.06.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.06.U0.asl 
  501   7281 last           9 /var/log/asl/2016.12.06.U501.asl 
  501   7281 last          10 /var/log/asl/2016.12.08.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.08.U0.asl 
  501   7281 last          11 /var/log/asl/2016.12.08.U501.asl 
  501   7281 last          12 /var/log/asl/2016.12.09.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.09.U0.asl 
  501   7281 last          13 /var/log/asl/2016.12.09.U501.asl 
  501   7281 last          14 /var/log/asl/BB.2017.09.30.G80.asl 
  501   7281 last          15 /var/log/asl/BB.2017.10.30.G80.asl 
  501   7281 last          16 /var/log/asl/BB.2017.11.30.G80.asl 
  501   7281 last          17 /var/log/asl/BB.2017.12.31.G80.asl 
  501   7281 last          18 /var/log/asl/Logs    
  501   7281 last          18 /var/log/asl/StoreData 
  501   7281 last           3 /etc/localtime       
  501   7281 last           3 /usr/share/zoneinfo/UTC

который показывает все файлы, открытые / прочитанные прошлой , Выйдите из opensnoop, введя: ^ С ,

Если вы не получаете аналогичный вывод, проверьте вашу подсистему ASL (например, asl.conf или демоны запуска com.apple.syslogd / com.apple.aslmanager) / папку / var / log / asl и исправьте все, если необходимо.

klanomath
источник
Результаты из opensnoop 10.12.1: dtrace: system integrity protection is on, some features will not be available и 33 из них: dtrace: error on enabled probe ID 5 (ID 188: syscall::open:return): invalid user access in action #11 at DIF offset 24, 33 соответствует файлам, показанным в ответе. Почему это сообщение? Результаты из last: хорошие входы в систему с сентября 2016 года. Почему не с сентября 2015 года, когда я впервые вошел в систему (обновления)? Как мы находим плохие логины?
Christopher
@Christopher Я отключил SIP, чтобы получить результат opensnoop. В моей физической установке Mavericks я получаю только логины и т. Д. За последний ~ один год (02 декабря 2015 г. - 09 декабря 2016 г.), хотя я ничего не переустанавливал / удалял с января 14 года. Вы должны конвертировать ваши вопросы с комментариями в один или несколько реальных вопросов ASE здесь ... ;-)
klanomath
относительно _mbsetupuser увидеть этот вопрос ,
orome
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.