나는 종종 이 last명령을 사용하여 내 시스템에 무단 로그인이 있는지 확인합니다. 이 명령은 다음과 같습니다.
last -Fd
IP를 표시하는 원격 로그인 정보가 있는 로그인 정보를 알려주세요.
에서 man last:
-F Print full login and logout times and dates.
-d For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option translates the IP
number back into a hostname.
질문:
내 시스템 중 하나에는 며칠 동안만 로그인이 표시됩니다. 왜 그런 겁니까? last며칠밖에 시간이 없다면 어떻게 해야 할까요?
문제의 출력은 다음과 같습니다.
root ~ # last -Fd
user pts/0 111-111-111-111. Wed Oct 8 20:05:51 2014 still logged in
user pts/0 host.lan Mon Oct 6 09:52:01 2014 - Mon Oct 6 09:53:41 2014 (00:01)
user pts/0 host.lan Sat Oct 4 10:11:39 2014 - Sat Oct 4 10:12:13 2014 (00:00)
user pts/0 host.lan Sat Oct 4 09:31:07 2014 - Sat Oct 4 10:11:00 2014 (00:39)
user pts/0 host.lan Sat Oct 4 09:26:04 2014 - Sat Oct 4 09:28:16 2014 (00:02)
wtmp begins Sat Oct 4 09:26:04 2014
답변1
logrotate관심 있는 로그가 보관되었으며 새 로그가 열렸을 가능성이 높습니다 . 오래된 파일이 있는 경우 wtmp다음 중 하나를 지정하세요. 예:
last -f /var/log/wtmp-20141001
답변2
"last" 명령은 /var/log/wtmp 파일에서 데이터를 읽습니다. logrotate 서비스를 활성화하면 wtmp 파일이 회전될 수 있습니다. /var/log 디렉토리에서 wtmp.1 또는 wtmp.1.gz 파일을 확인하십시오. 이 값이 있으면(또는 다음 숫자와 더 유사: wtmp.2 wtmp.3 등) 이는 wtmp 로그가 회전되었음을 의미합니다. 그런 다음 "last -f wtmp_file" 명령을 사용하여 회전을 조정/비활성화하거나 이전 데이터를 확인할 수 있습니다.