É provável que logrotate tenha arquivado o (s) log (s) de interesse e tenha aberto um novo. Se você tiver arquivos wtmp mais antigos, especifique um deles, como por exemplo:
last -f /var/log/wtmp-20141001
Costumo usar o comando last para verificar meus sistemas em busca de logons não autorizados, este comando:
last -Fd
me dá os logins onde eu tenho logins remotos mostrando com ip.
De man last :
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
Pergunta:
Um dos meus sistemas está exibindo apenas alguns dias de login. Por que é que? O que posso fazer quando last me dá apenas alguns dias?
Aqui está a saída em questão:
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
O comando 'last' lê dados do arquivo / var / log / wtmp. Se você tiver o serviço logrotate ativado, ele provavelmente rotacionará o arquivo wtmp. Verifique se você tem o arquivo wtmp.1 ou wtmp.1.gz dentro do diretório / var / log. Se você tiver (ou mais similar com os próximos números: wtmp.2 wtmp.3, etc), significa que o log wtmp é rotacionado. Então você pode ajustar / desativar a rotação ou usar o comando 'last -f wtmp_file' para verificar os dados mais antigos.
Como sugerido por Slm , você pode usar:
$ lastlog -b 0 -t 100
Para descobrir os usuários que fizeram login em um sistema nos últimos 100 dias.