Sem mais informações, é difícil dizer, mas elas extraem dados de diferentes fontes. É possível que seja por isso.
last
extrai de /var/log/wtmp
, que lida com mais do que apenas logins de usuários. Virtualmente, qualquer mudança no estado do sistema é registrada lá. Por essa razão, é um candidato óbvio para logrotate
lastlog
extrai de /var/log/lastlog
, que está preocupado apenas com logins anteriores.
É possível que /var/log/wtmp
tenha sido rotacionado em algum momento após o login desse usuário e é por isso que você não o está vendo.
Para verificar, você pode executar last | grep "wtmp begins"
e, se essa data for posterior à data de login fornecida por lastlog
, foi o que aconteceu e você precisaria procurar /var/log
na cópia girada de wtmp
e especifique-o com -f
, por exemplo last -f /var/log/wtmp.1 | grep IPADDRESS