- utmp – wpisy z logowaniami użytkowników, logi terminali, zdarzenia w systemie, dane jak długo system był włączony i inne
- wtmp – dane historyczne z pliku utmp
- btmp – wpisy z niepoprawnymi logowaniami do systemu
Jak możemy odczytać te pliki? Służy do tego komenda last (bez parametrów zwraca wpisy z utmp, ale można wskazać też pliki z danymi historycznymi). Wpisując w konsoli komendę:
lastOtrzymamy następujące wpisy:
root@mojserver:~# last root pts/0 Sun Dec 30 19:31 still logged in root pts/0 1.2.3.4 Sun Dec 30 19:31 - 19:31 (00:00) root pts/0 Sun Dec 30 19:19 - 19:19 (00:00) root pts/0 1.2.3.4 Sun Dec 30 19:19 - 19:19 (00:00) root pts/0 Sun Dec 30 14:11 - 14:12 (00:01) root pts/0 1.2.3.4 Sun Dec 30 14:11 - 14:11 (00:00) root pts/0 Sun Dec 30 14:11 - 14:11 (00:00) root pts/0 1.2.3.4 Sun Dec 30 14:11 - 14:11 (00:00) root pts/1 Sun Dec 30 03:40 - 04:03 (00:22) root pts/1 1.2.3.4 Sun Dec 30 03:40 - 03:40 (00:00) reboot system boot 4.15.17-1-pve Fri Dec 28 15:08 - 20:04 (04:55)Które pokażą nam m.in. uptime systemu oraz logowania na konta. Aby otworzyć plik wtmp musimy podać go w parametrze -f:
last -f /var/log/wtmpTak samo dla pliku utmp
last -f /var/log/utmpZobaczymy wtedy dane historyczne, dzięki czemu możemy wykonać audyt bezpieczeństwa systemu, lub pozyskać inne wartościowe informacje.
