La commande last
peut afficher trop peu de lignes d’informations de connexion utilisateur, tronquées avant le début du "wtmp".
Si je veux obtenir autant d'informations que possible last
(par exemple, pour voir si mon système a été accédé à partir d'une adresse IP inconnue/suspecte utilisant mon nom d'utilisateur), comment puis-je générer l'ancienne "dernière" information?
Si j'utilise last -2000
, dans l'intention de voir 2000 lignes de sortie, mais que la commande ne retourne que quelques lignes, tout ce qui s'est passé avant le début de "wtmp" serait tronqué.)
Je me demande simplement s'il est possible de générer autant de lignes d'informations de connexion que possible.
La commande last
utilise le fichier binaire /var/log/wtmp
pour afficher une liste des derniers utilisateurs connectés.
Mais /var/log/wtmp
est un fichier pivoté dans lequel les anciennes entrées sont archivées dans /var/log/wtmp.x
où x est un chiffre [0-9]
.
Donc, si vous avez besoin de chercher plus loin dans l'historique de connexion, essayez d'ouvrir l'un de ces fichiers:
last -2000 -f /var/log/wtmp.1 | less
Se connecte
/var/log/wtmp.1
sont contraints.
Ubuntu 16 et probablement 17 disposent d'un mécanisme de suppression des journaux datant de plus d'un mois . Pour configurer ce comportement, vous devez éditer:
/etc/logrotate.conf
Plus d'informations:
Si le dernier -f /var/log/wtmp.1
ne donne aucun résultat, cela peut être parce que, par exemple, la longueur de l'enregistrement a changé dans une version plus récente.
Une option simplement consisterait alors à utiliser utmpdump à la place:
utmpdump /var/log/wtmp.1 | less
Oh, et less
peut être quitté en utilisant q (de "quitter" ;-))