Como encontrar quem estava logado antes do início do wtmp

15

Estou tentando determinar quem fez o login recentemente em uma máquina específica no meu escritório. Então eu usei last , mas o wtmp começa ontem (segunda-feira) por volta das 14:30. Eu estava esperando encontrar informações para o domingo, pelo menos. Existe alguma maneira de obter essa informação sem arrastar o arquivo de log de autorização?

    
por thepocketwade 03.11.2009 / 14:19

2 respostas

25

Presumivelmente, seu arquivo wtmp foi girado, então tente last -f /var/log/wtmp.1 ou last -f /var/log/wtmp.0 para ler os arquivos anteriores. Se eles não funcionarem, ls /var/log/wtmp* e veja se eles são chamados de outra coisa. Se eles estiverem compactados (extensão .gz ), descomprima-os.

Se eles não estiverem lá, encontre quem configurou o esquema de rotação de bobinas e dê um soco sólido nas pantalonas. Não há razão para não manter pelo menos algumas semanas de wtmp logs.

    
por 03.11.2009 / 14:29
3

Se os arquivos wtmp não estiverem disponíveis, você também pode procurar diretamente em / var / log / secure ou / var / log / messages para ver qualquer mensagem de login lá.

    
por 06.11.2009 / 21:09