서버가 있고 명령의 출력을 확인하려고 합니다 last.
시스템의 대부분의 사용자에게는 마지막 명령이 작동합니다.
루트 또는 다른 사용자가 관련된 경우 출력은 last다음과 같습니다.
wtmp begins Fri Dec 9 07:14:25 2017
캡처된 내용을 확인하기 위해 모든 사용자로 로그인 및 로그아웃을 시도했는데 이것이 여전히 출력입니다.
누군가 로그를 수정했는지 아니면 이것이 정상적인지 알고 싶습니다.
답변1
명령으로 표시되는 정보 last는 wtmp일반적으로 /var/log/wtmp.
시스템 사용 중 이 파일의 증가에 대한 상한선이 없기 때문에 대부분의 Linux 배포판의 기본 구성에서는 이 파일에 대한 자동 로그 순환 프로세스를 구현합니다.
기본 순환은 /var/log/wtmp매주 또는 매월일 수 있습니다. 일반적으로 일부 이전 버전의 파일은 /var/log/wtmp.1다음과 /var/log/wtmp.2같이 유지됩니다. 일부 배포판에서는 증분 숫자 대신 날짜 스탬프가 사용됩니다.
last이전 로그 회전 주기의 출력이 필요한 경우 이 -f옵션을 사용하여 last명령이 이전 버전의 wtmp 파일을 가리키도록 합니다. 예를 들어:
last -f /var/log/wtmp.1
wtmp 파일의 로그 회전 기간을 변경하거나 시스템에 많은 수의 이전 버전을 유지하도록 지시하려면 파일을 살펴보세요. /etc/logrotate.conf일반적 /etc/logrotate.d/*으로 로그 회전 프로세스가 정의되는 파일이 여기에 있습니다.
답변2
내 (Ubuntu) 시스템에서도 마찬가지인데, (아마도?) 조작되지 않았다고 가정합니다. 타임스탬프가 시스템을 마지막으로 부팅한 시간이면 이는 정상일 수 있습니다. 이는 배포와 관련이 있을 수 있습니다(Ubuntu(워크스테이션)에서는 루트가 로그인하지 않습니다...).
모든 시스템 변경 작업이 wtmp/last에 항목을 생성하는 것은 아닙니다. SSH 액세스 권한이 있는 경우 SFTP를 통해 파일에 액세스할 수 있으며 이러한 연결은 /var/log/auth.log에서 추적됩니다.