Linux 未开启wtmp
wtmp 是 Linux 系统中的一个二进制文件,用于记录所有登录和登出事件。这个文件通常位于 /var/log/wtmp 目录下。如果 wtmp 文件未开启,可能意味着系统没有正确记录用户的登录和登出活动。
基础概念
- wtmp: 是一个循环使用的二进制日志文件,记录了所有用户的登录和登出时间。
- last: 是一个命令行工具,用于读取
wtmp文件并显示最近的用户登录信息。
为什么会出现未开启的情况?
- 文件权限问题: 可能是因为
/var/log/wtmp文件的权限设置不正确,导致系统无法写入。 - 配置错误: 系统的登录管理配置可能未正确设置,导致
wtmp文件未被使用。 - 系统更新或补丁: 某些系统更新或安全补丁可能会更改日志记录的行为。
如何检查和解决这个问题?
检查文件权限
ls -l /var/log/wtmp确保文件权限允许系统写入。通常应该是 -rw-rw-r--。
检查登录管理配置
查看 /etc/login.defs 文件中的 SYSLOG_SG_ENAB 参数是否设置为 yes,这允许系统记录每个用户的登录活动。
grep SYSLOG_SG_ENAB /etc/login.defs手动创建或修复 wtmp 文件
如果 wtmp 文件不存在或损坏,可以尝试手动创建一个新的:
touch /var/log/wtmp
chmod 664 /var/log/wtmp
chown root:utmp /var/log/wtmp使用 last 命令验证
使用 last 命令查看是否有记录:
last如果没有输出,说明 wtmp 文件可能确实没有记录任何登录活动。
应用场景
- 审计和安全监控: 通过分析
wtmp文件,管理员可以追踪谁在何时登录了系统,这对于安全审计非常有用。 - 故障排查: 如果系统出现问题,查看
wtmp可以帮助确定问题发生时的用户活动。
相关优势
- 完整性: 记录所有登录和登出事件,确保了系统活动的完整跟踪。
- 可靠性: 作为系统核心日志的一部分,
wtmp文件通常被设计为持久且不易篡改。
通过上述步骤,你应该能够诊断并解决 Linux 系统中 wtmp 文件未开启的问题。如果问题依旧存在,可能需要进一步检查系统的日志服务配置或考虑系统层面的更深层次问题。
相关·内容
1回答
Linux日志/var/log/wtmp根据手册页http://linux.die.net/man/5/wtmp存储许多系统事件的"utmp“事件,例如登录到它(LOGIN_PROCESS ut_type有last实用程序,它解析wtmp并打印登录到系统的人,以及何时重新启动。将信息写入wtmp日志的过程是什么?
浏览 0提问于2014-03-26得票数 2
回答已采纳
有什么办法做以上所有的事吗?我已经在LOG_OK_LOGINS和SYSLOG_SU_ENAB中禁用了login.defs,但仍然不知道怎么做其他的事情。
浏览 0提问于2011-08-30得票数 4
回答已采纳
1回答
通常,最后一个日志被旋转到/var/log中,作为wtmp*存储在/var/log中,但是当我在/var/ log中查看我的系统时,我只看到它前面的当前wtmp文件和wtmp*文件。我知道这个系统有不止一个wtmp日志轮转。存档或旋转的wtmp日志是否每次旋转时都会被覆盖?它被移到别的地方了吗?系统刚刚没有保存前一个月的旋转文件吗?为了澄清我最后一次wtmp轮转是10月1日,之前是9月1日。我有从10月1日到今天的日志文件,我有
浏览 0提问于2022-10-11得票数 1
回答已采纳
我正在寻找一个日志文件或任何服务来报告由于用户名/密码不匹配而失败的最新登录尝试。是否有任何这样的实用程序可用于CentOS?(内建者优先)
我的第二个问题,也是更一般的问题,我需要一个日志文件来尝试对我的服务器进行渗透。理想情况下,这个日志应该包含所有尝试,包括登录、httpd活动和其他常规的开放端口。
浏览 0提问于2012-09-22得票数 38
回答已采纳
当涉及根用户或其他用户时,last的输出如下:我尝试过登录和注销所有用户,以查看正在捕获什么,而这仍然是输出。
浏览 0提问于2017-12-21得票数 1
4回答
我假设它从其中提取的日志文件(即/var/log/wtmp )在一定大小后会被覆盖。
我看到我也有一个wtmp.1文件,所以使用-f参数,我可以使用这个参数返回一个月前的日志。
浏览 3提问于2013-07-18得票数 4
回答已采纳
2回答
我需要使用'last‘来搜索登录到系统的用户列表,即考虑到该目录中bzcat归档文件的数量,并考虑到我在一个共享系统上,我尝试包含一个内联我尝试了以下组合,但没有成功:last -f <$(bzcat /var/log/wtmp-*)
bzcat /
浏览 9提问于2012-02-21得票数 1
在我的Linux服务器中,lastlog和wtmp文件为其他用户设置了读取权限集(664)。我们真的需要为其他用户保留读取权限吗?或者我可以将其更改为(660或640)。在其中一台服务器中,即使lastlog使用了1000 (wtmp和664),但像last这样的命令正在为非根用户工作。
浏览 0提问于2017-01-09得票数 4
回答已采纳
为什么Linux二进制文件中有一些文件?例如,/var/ log /wtmp日志?更确切地说,为什么日志是二进制形式的。
浏览 0提问于2016-09-17得票数 2
在OS X或Linux中,是否可以确定某个特定操作对文件系统造成了哪些更改?其中一些应该是不必要的。我不明白为什么我需要所有的人。
浏览 1提问于2014-01-25得票数 0
直播推流设置为固定清晰度为高清 960x540,这个时候需要开启硬件加速吗?同理用户端拉流需要开启硬件加速吗?
还有一点是我开启硬件加速后,在推流端视频的 kbs反而比未开启的硬件加速要低。。。
浏览 384提问于2020-05-27
2回答
错误消息为:Perhaps this file was removed by the operator to
浏览 2提问于2012-11-24得票数 10
回答已采纳
1回答
您比我更清楚linux存储在日志文件中的任何操作,比如/var/log,我想知道在linux中是否存在自定义日志文件的情况,例如,在本例中,我是我的系统的根,我不想记录根的操作,但是其他的操作很重要,因为我想监视它们在这种情况下,只有wtmp对我很重要!
浏览 0提问于2015-06-23得票数 2
1回答
我从文件/proc/uptime获取Linux正常运行时间。从何处获取机器的上次关闭时间。如何从"c“中的wtmp文件中读取。我不想解析上一个-x命令的输出。我可以使用sysctl吗?
浏览 5提问于2016-04-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
