Estoy tratando de determinar quién inició sesión recientemente en una máquina específica en mi oficina. Así que solía last, pero wtmp comienza ayer (lunes) alrededor de las 14:30. Esperaba encontrar información que se remontara al domingo, al menos. ¿Hay alguna forma de obtener esa información sin atravesar el archivo de registro de autorización?
Respuestas:
Presumiblemente su archivo wtmp ha sido rotado, así que intente last -f /var/log/wtmp.1o last -f /var/log/wtmp.0lea los archivos anteriores. Si esos no funcionan, ls /var/log/wtmp*y ver si se llaman de otra manera. Si están comprimidos ( .gzextensión), descomprímalos.
Si no están allí, encuentre a quien haya configurado el esquema de rotación de bollocks y dele un golpe sólido a los pantalones. No hay razón para no guardar al menos unas pocas semanas de wtmpregistros.
Si los archivos wtmp no están disponibles, también puede mirar directamente en / var / log / secure o / var / log / messages para ver cualquier mensaje de inicio de sesión allí.