Estou tentando determinar quem entrou recentemente em uma máquina específica no meu escritório. Então eu usei last, mas o wtmp começa ontem (segunda-feira) por volta das 14:30. Eu esperava encontrar informações que chegassem ao domingo, pelo menos. Existe alguma maneira de obter essas informações sem vasculhar o arquivo de log de autorização?
Presumivelmente, seu arquivo wtmp foi girado; portanto, tente last -f /var/log/wtmp.1ou last -f /var/log/wtmp.0leia os arquivos anteriores. Se eles não funcionarem, ls /var/log/wtmp*e veja se são chamados de outra coisa. Se eles estiverem compactados ( .gzextensão), descompacte-os.
Se eles não estiverem lá, encontre quem configurar o esquema de rotação de bollocks e dê-lhes um soco sólido nos pantalonas. Não há razão para não manter pelo menos algumas semanas de wtmpregistros.
Se os arquivos wtmp não estiverem disponíveis, você também poderá olhar diretamente em / var / log / secure ou / var / log / messages para ver qualquer mensagem de login lá.
fonte