Ich versuche festzustellen, wer kürzlich an einem bestimmten Computer in meinem Büro angemeldet war. Also habe ich verwendet last, aber wtmp beginnt gestern (Montag) gegen 14:30 Uhr. Ich hatte gehofft, Informationen zu finden, die zumindest bis Sonntag zurückreichen. Gibt es eine Möglichkeit, diese Informationen abzurufen, ohne die Autorisierungsprotokolldatei zu durchsuchen?
Antworten:
Vermutlich Ihre wtmp gedreht wurde, so versuchen last -f /var/log/wtmp.1oder last -f /var/log/wtmp.0die vorherigen Dateien zu lesen. Wenn diese nicht funktionieren, ls /var/log/wtmp*und sehen Sie, ob sie etwas anderes heißen. Wenn sie komprimiert sind ( .gzErweiterung), dekomprimieren Sie sie.
Wenn sie nicht da sind, finden Sie denjenigen, der das Rotationsschema für die Bollocks eingerichtet hat, und geben Sie den Pantalons einen soliden Tritt. Es gibt keinen Grund, nicht mindestens ein paar Wochen wtmpProtokolle aufzubewahren.
Wenn die wtmp-Dateien nicht verfügbar sind, können Sie auch direkt in / var / log / secure oder / var / log / messages nachsehen, um dort Anmeldemeldungen anzuzeigen.