web-dev-qa-db-fra.com

Comment lire des informations de connexion plus anciennes en utilisant la "dernière" commande?

La commande lastpeut afficher trop peu de lignes d’informations de connexion utilisateur, tronquées avant le début du "wtmp".

Si je veux obtenir autant d'informations que possible last(par exemple, pour voir si mon système a été accédé à partir d'une adresse IP inconnue/suspecte utilisant mon nom d'utilisateur), comment puis-je générer l'ancienne "dernière" information?

Si j'utilise last -2000, dans l'intention de voir 2000 lignes de sortie, mais que la commande ne retourne que quelques lignes, tout ce qui s'est passé avant le début de "wtmp" serait tronqué.)

Je me demande simplement s'il est possible de générer autant de lignes d'informations de connexion que possible.

10
water stone

La commande last utilise le fichier binaire /var/log/wtmp pour afficher une liste des derniers utilisateurs connectés.

Mais /var/log/wtmp est un fichier pivoté dans lequel les anciennes entrées sont archivées dans /var/log/wtmp.x où x est un chiffre [0-9].

Donc, si vous avez besoin de chercher plus loin dans l'historique de connexion, essayez d'ouvrir l'un de ces fichiers:

last -2000 -f /var/log/wtmp.1 | less
14
Sylvain Pineau

Mettre à jour

Se connecte

/var/log/wtmp.1

sont contraints.

Ubuntu 16 et probablement 17 disposent d'un mécanisme de suppression des journaux datant de plus d'un mois . Pour configurer ce comportement, vous devez éditer:

/etc/logrotate.conf

Plus d'informations:

Accès aux journaux de démarrage et d'arrêt

0
Daniel

Si le dernier -f /var/log/wtmp.1 ne donne aucun résultat, cela peut être parce que, par exemple, la longueur de l'enregistrement a changé dans une version plus récente.

Une option simplement consisterait alors à utiliser utmpdump à la place:

utmpdump /var/log/wtmp.1  | less

Oh, et less peut être quitté en utilisant q (de "quitter" ;-))

0
Kees