Я рекомендую. — Что такое /var/log/wtmp
Все логи доступны как обычный текстовой файл, а этот имеет бинарный формат и по этому многие даже не знают что это такое и зачем оно нужно?
Так вот, в этот файл пишутся все логины в систему.
Смотреть его можно так
Я иногда смотрю кто входил по сети
Еще в нете нагуглил вот такую читалку на перле отсюда http://www.hcidata.info/wtmp.htm
А еще есть хорошая тулза last которая использует этот файл.
Совсем забыл про /var/run/utmp - кто сейчас в системе, формат тотже.
Так вот, в этот файл пишутся все логины в систему.
Смотреть его можно так
utmpdump /var/log/wtmp
Я иногда смотрю кто входил по сети
utmpdump /var/log/wtmp | grep -v 0.0.0.0
Еще в нете нагуглил вот такую читалку на перле отсюда http://www.hcidata.info/wtmp.htm
perl -we '@type=("Empty","Run Lvl","Boot","New Time","Old Time","Init","Login","Normal","Term","Account");$recs = ""; while (<>) {$recs .= $_};foreach (split(/(.{384})/s,$recs)) {next if length($_) == 0;my ($type,$pid,$line,$inittab,$user,$host,$t1,$t2,$t3,$t4,$t5) = $_ =~/(.{4})(.{4})(.{32})(.{4})(.{32})(.{256})(.{4})(.{4})(.{4})(.{4})(.{4})/s;if (defined $line && $line =~ /\w/) {$line =~ s/\x00+//g;$host =~ s/\x00+//g;$user =~ s/\x00+//g;printf("%s %-8s %-12s %10s %-45s \n",scalar(gmtime(unpack("I4",$t3))),$type[unpack("I4",$type)],$user,$line,$host)}}print"\n"' < /var/log/wtmp
А еще есть хорошая тулза last которая использует этот файл.
Совсем забыл про /var/run/utmp - кто сейчас в системе, формат тотже.
