마지막 명령은 며칠 동안의 로그인 횟수만 표시합니다.

마지막 명령은 며칠 동안의 로그인 횟수만 표시합니다.

나는 종종 이 last명령을 사용하여 내 시스템에 무단 로그인이 있는지 확인합니다. 이 명령은 다음과 같습니다.

last -Fd

IP를 표시하는 원격 로그인 정보가 있는 로그인 정보를 알려주세요.

에서 man last:

-F     Print full login and logout times and dates.
-d     For non-local logins, Linux stores not only the host name of the remote host but its IP number as well. This option  translates  the  IP
              number back into a hostname.

질문:

내 시스템 중 하나에는 며칠 동안만 로그인이 표시됩니다. 왜 그런 겁니까? last며칠밖에 시간이 없다면 어떻게 해야 할까요?

문제의 출력은 다음과 같습니다.

root ~ # last -Fd
user pts/0        111-111-111-111. Wed Oct  8 20:05:51 2014   still logged in                      
user pts/0        host.lan   Mon Oct  6 09:52:01 2014 - Mon Oct  6 09:53:41 2014  (00:01)    
user pts/0        host.lan   Sat Oct  4 10:11:39 2014 - Sat Oct  4 10:12:13 2014  (00:00)    
user pts/0        host.lan   Sat Oct  4 09:31:07 2014 - Sat Oct  4 10:11:00 2014  (00:39)    
user pts/0        host.lan   Sat Oct  4 09:26:04 2014 - Sat Oct  4 09:28:16 2014  (00:02)    

wtmp begins Sat Oct  4 09:26:04 2014

답변1

logrotate관심 있는 로그가 보관되었으며 새 로그가 열렸을 가능성이 높습니다 . 오래된 파일이 있는 경우 wtmp다음 중 하나를 지정하세요. 예:

last -f /var/log/wtmp-20141001

답변2

"last" 명령은 /var/log/wtmp 파일에서 데이터를 읽습니다. logrotate 서비스를 활성화하면 wtmp 파일이 회전될 수 있습니다. /var/log 디렉토리에서 wtmp.1 또는 wtmp.1.gz 파일을 확인하십시오. 이 값이 있으면(또는 다음 숫자와 더 유사: wtmp.2 wtmp.3 등) 이는 wtmp 로그가 회전되었음을 의미합니다. 그런 다음 "last -f wtmp_file" 명령을 사용하여 회전을 조정/비활성화하거나 이전 데이터를 확인할 수 있습니다.

답변3

제안대로당신은 그것을 사용할 수 있습니다 :

$ lastlog -b 0 -t 100

지난 100일 이내에 시스템에 로그인한 사용자를 찾습니다.

관련 정보