Sem mais informações, é difícil dizer, mas elas extraem dados de diferentes fontes. É possível que seja por isso.
last extrai de /var/log/wtmp , que lida com mais do que apenas logins de usuários. Virtualmente, qualquer mudança no estado do sistema é registrada lá. Por essa razão, é um candidato óbvio para logrotate
lastlog extrai de /var/log/lastlog , que está preocupado apenas com logins anteriores.
É possível que /var/log/wtmp tenha sido rotacionado em algum momento após o login desse usuário e é por isso que você não o está vendo.
Para verificar, você pode executar last | grep "wtmp begins" e, se essa data for posterior à data de login fornecida por lastlog , foi o que aconteceu e você precisaria procurar /var/log na cópia girada de wtmp e especifique-o com -f , por exemplo last -f /var/log/wtmp.1 | grep IPADDRESS