Temos um servidor e tentei verificar a saída do comando last .
Para a maioria dos usuários do sistema, o último comando está funcionando.
Quando se trata de root, ou para outro usuário, a saída de last é a seguinte:
wtmp begins Fri Dec 9 07:14:25 2017
Eu tentei fazer o login e logout de todos os usuários para ver o que está sendo capturado, e esta ainda é a saída.
Estou tentando entender se alguém modificou o log ou se isso é normal?
O mesmo no meu (Ubuntu) sistema que eu (presunçosamente?) considero não-manipulado. Se o registro de data e hora for a última vez que você inicializou o sistema, isso pode ser normal. Isso pode ser dependente de distro (na raiz do Ubuntu (estação de trabalho) nunca faz o login ...).
Nem todas as ações de alteração do sistema resultam em uma entrada no wtmp / last, você pode acessar arquivos via SFTP se houver um acesso SSH e essas conexões forem rastreadas por /var/log/auth.log
As informações exibidas pelo comando last são armazenadas no arquivo wtmp , que normalmente está localizado em /var/log/wtmp .
Como esse arquivo crescerá sem nenhum limite superior enquanto o sistema estiver sendo usado, a configuração padrão da maioria das distribuições do Linux implementará um procedimento automatizado de rotação de logs para esse arquivo.
A rotação padrão para /var/log/wtmp pode ser semanal ou mensal. Geralmente, algumas versões antigas do arquivo são mantidas como /var/log/wtmp.1 , /var/log/wtmp.2 etc. Em algumas distribuições, um registro de data é usado em vez de um número crescente.
Se você precisar de last de saída de um ciclo de rotação de log anterior, use a opção -f para apontar o comando last para uma versão mais antiga do arquivo wtmp. Por exemplo:
last -f /var/log/wtmp.1
Se você quiser alterar o ciclo de rotação de log do arquivo wtmp ou informar ao sistema para manter um número maior de versões anteriores, consulte os arquivos /etc/logrotate.conf e /etc/logrotate.d/* - esses são os procedimentos de rotação de log geralmente definidos .