Я пытаюсь определить, кто недавно вошел в определенную машину в моем офисе. Так что я использовал last, но wtmp начинается вчера (понедельник) около 14:30. Я надеялся найти информацию, уходящую в воскресенье, по крайней мере. Есть ли способ получить эту информацию без использования файла журнала авторизации?
Ответы:
Предположительно ваш файл wtmp был повернут, поэтому попробуйте last -f /var/log/wtmp.1или last -f /var/log/wtmp.0прочитайте предыдущие файлы. Если они не работают, ls /var/log/wtmp*и посмотрите, называются ли они чем-то другим. Если они сжаты ( .gzрасширение), распакуйте их.
Если их там нет, найдите того, кто настроит схему вращения боллоков, и нанесите им сильный удар ногой в панталоны. Нет причин не хранить wtmpжурналы хотя бы на несколько недель .
Если файлы wtmp недоступны, вы также можете посмотреть непосредственно в / var / log / secure или / var / log / messages, чтобы увидеть там любое входящее сообщение.