web-dev-qa-db-ja.com

wtmpの開始前にログインしていた人を見つける方法

私のオフィスの特定のマシンに最近ログインしたユーザーを特定しようとしています。 lastを使用しましたが、wtmpは昨日(月曜日)の14:30頃に始まります。少なくとも日曜日まで遡って情報を見つけたいと思っていました。とにかく、認証ログファイルを調べずにその情報を取得する方法はありますか?

17
thepocketwade

おそらくあなたのwtmpファイルはローテーションされているので、last -f /var/log/wtmp.1またはlast -f /var/log/wtmp.0で以前のファイルを読み取ります。これらが機能しない場合は、ls /var/log/wtmp*と呼ばれているかどうかを確認します。圧縮されている場合(.gz拡張子)、解凍してください。

彼らがそこにいない場合は、bollocks回転スキームを設定した人を見つけて、パンタロンにしっかりした足パンチを与えます。少なくとも数週間分のwtmpログを保持しない理由はありません。

27
womble

Wtmpファイルが利用できない場合は、/ var/log/secureまたは/ var/log/messagesを直接見て、そこにあるログインメッセージを確認することもできます。

3
sucuri