(gelöst) last - wie weit zurück funktioniert das?

[michaa7]

Hi,

egal wie viele Einträge (hier zuletzt 2000) ich anzeigen lasse, "last" geht nicht weiter als den 1. September 2023 zurück.

Code: Alles auswählen

"wtmp begins Fri Sep  1 00:41:17 2023"

"man last" zeigt mir nichts sinnvolles eine Begrenzung zu überwinden, auch nicht wo diese eigentlich gesetzt wurde. Nur zur Klärung, die Installation ist jahrealt.

Ich möchte eigentlich nur wissen, ob ich an einem bestimmten Tag im August hier war (oder noch woanders). Eingeloggt sein bzw ein an diesem Tag laufender Desktop wäre für mich ein ausreichender Hinweis.

A) wo wird die Begrenzung für last gesetzt? (für die Beantwortung meiner Frage jetzt natürlich zu spät)
B) wie kann ich sonst noch feststellen ob der Rechner an einem bestimmten Tag gelaufen ist? (Uhrzeit wäre von Vorteil)

[michaa7]

Ok, gefunden. Es gibt den file /var/log/wtmp.1 der die älteren Daten enthält. mit "last -f /var/log/wtmp.1" wird diese an statt des aktuellen files genutzt.

[uname]

Auch wenn es vielleicht nicht wichtig ist. Wahrscheinlich ist in /etc/logrotate.conf konfiguriert, wann die Datei rotiert wird.

[MSfree]

Wahrscheinlich ist in /etc/logrotate.conf konfiguriert, wann die Datei rotiert wird.

Ja, der Default ist, daß die Datei monatlich rotiert wird, wenn sie größer als 1MB ist und es wird nur eine Datei in der History aufgehoben. Siehe auch: /etc/logrotate.d/wtmp.

[michaa7]

Mittlerweile ist es ja gelöst. Danke für eure weiteren Infos. Ich war einfach überrascht, dass "last" im default Modus nur einen so kurzen Rückblick erlaubt und wußte nichts von wtmp.1, wird auch in den "man" nicht erwähnt. Mittlerweile ist es ja gelöst.

Dennoch frage ich mich ob das nicht irgendwie gezielter geht. Ich wollte "grep" bemühen, aber da stehe ich wieder auf dem Schlauch.

Wie könnte man sich die (alten) Einträge vom beispielsweise 13. April anzeigen lassen?

So geht es nicht:

Code: Alles auswählen

$ grep -i "*Apr 13*" /var/log/wtmp.1

[MSfree]

Dennoch frage ich mich ob das nicht irgendwie gezielter geht.

Da du Ursache bei logrotate liegt, kannst du die Anzahl der aufgehobenen Dateien in der o.g. Datei einstellen. Dann gibt es nicht nur wtmp und wtmp.1 sondern auch weitere wtmp.2 wtmp.3 ... je nach dem, wie hoch du die Zahl setzt.

[michaa7]

Nee, jetzt haben wir uns misverstanden. wtmp.1 reicht für meine Zwecke weit genug zurück. Aber um mir die logins eines bestimmten Datums anzeigen zu lassen muss ich ja irgernd ein "n=x" für "last -n x" abschätzen und mir den den ganzen Schlauch ausgebenlassen udn durchscrollen. Das geht zwar, aber da das ja textdateien sind sollte man ja greppen können. Nur ich bekomme es nciht hin.

Upps, das ist nicht so eine textdatei wie ich das erwartet habe ...

Aber so geht es:

Code: Alles auswählen

 last -f  /var/log/wtmp.1 | grep -i "May  5"

[uname]

Naja grep findet wohl nichts, weil das Format der Datei anders ist. grep sucht im Übrigen nach regulären Ausdrücken und fgrep nicht. Wenn ich mir (ohne was kaputtzumachen) eine Datei anschauen will, dann nutze ich Vim mit der Option "-". Vim ist schon toll und kann recht große Dateien lesen und/oder bearbeiten.

Code: Alles auswählen

last -f  /var/log/wtmp.1 | vim -
cat /var/log/wtmp.1 | vim -

Und wenn die Datei lesbar ist, kann man auch ganz gut suchen, wenn man weiß, wie das mit Vim geht. Wenn man nicht weiß, wie das geht, dann empfehle ich vimtutor mal im Terminal aufzurufen. Ein Vim-Tutor als Textdatei geöffnet mit Vim. Da steht auch irgendwo wie man den Vim wieder verlässt. Oder man kauft sich eine Vim-Tasse oder ein Vim-Buch wie z. B. vim GE-PACKT.

[rodney]

[...]

Code: Alles auswählen

last -f  /var/log/wtmp.1 | vim -
cat /var/log/wtmp.1 | vim -

[...]

Kleine Korrektur:

Da es sich um Binaerdateien handelt fehlt dazwischen ein xxd:

Code: Alles auswählen

last -f  /var/log/wtmp.1 | xxd | vim -
cat /var/log/wtmp.1 | xxd | vim -

... nicht dass damit jemand gleich die Lust verliert

[michaa7]

toll, aber was ich als Beispiel angegeben habe funktioniert doch. der Aufwand mit vim ist überflüssig. Und wonach suchst du damit eigentlich?

[heisenberg]

Eine kleine bash-Hilfsfunktion, die mehrere wtmp-Dateien in chronologischer Reihenfolge textuell ausgibt:

Code: Alles auswählen

last_all() {
  args=""
  for datei in $(ls -tr "$@") ; do
      args="$args -f $datei"
  done
  last $args
}

# Aufruf

$ last_all /var/log/wtmp*

[tobo]

Anstatt $(ls -tr "$@") könnte man auch einfach nur "$@" verwenden.

[heisenberg]

Anstatt $(ls -tr "$@") könnte man auch einfach nur "$@" verwenden.

Dann stimmt die Sortierung aber nicht:

Code: Alles auswählen

cd /var/log
set wtmp*

$ echo $@ 
wtmp wtmp.1

$ echo $@ | xargs ls -tr 
wtmp.1  wtmp

Der Plan ist, das von alt nach neu zu sortieren.

[tobo]

Dann schreibt man das halt rückwärts:

Code: Alles auswählen

args="-f $datei $args"

Edit:
Wobei dann natürlich Zeitsprünge in der Datei wären - anders wäre es kontinuierlich rückwärts laufend.

[heisenberg]

Dann schreibt man das halt rückwärts:

Code: Alles auswählen

args="-f $datei $args"

Ja. So funktioniert das scheinbar.

Wie ist definiert, in welcher Reihenfolge die Bash das Globbing auflöst? Also wtmp*. Es scheint ja erst mal ein normaler Sortieralgorithmus nach Dateinamen zu sein - was passen würde, solange man seine Logrotation nicht sehr ungewöhnlich gestaltet. (z. B. wtmp.september, wtmp.oktober, wtmp.november).

Code: Alles auswählen

last_all() {
  args=""
  for datei in "$@" ; do
      args="-f $datei $args"
  done
  last $args
}

# Aufruf

$ last_all /var/log/wtmp*

[tobo]

Der Plan ist, das von alt nach neu zu sortieren.

Man könnte "$@" nehmen und zur Ausgabe dann tac <(last $args).

[GregorS]

Mittlerweile ist es ja gelöst.

Ich hab's gelöst, indem ich logrotate deaktiviert habe („exit 0“ an den Anfang von /etc/cron.daily/logrotate, anschließend Schreibrechte für alles und jeden entziehen). Für mich als reinen Anwender ist logrotate grundsätzlich sinnlos - hat hier noch jemand ein Problem, was den Speicherplatz angeht?

Okay, das mag gut sein, wenn man administriert und sich Logs per Mail schicken lässt.

Aber sonst? Mir fällt kein Grund ein.

Gruß

Gregor

[michaa7]

Wahrscheinlich ist in /etc/logrotate.conf konfiguriert, wann die Datei rotiert wird.

Ja, der Default ist, daß die Datei monatlich rotiert wird, wenn sie größer als 1MB ist und es wird nur eine Datei in der History aufgehoben. Siehe auch: /etc/logrotate.d/wtmp.

Da ich jetzt über diese Sache gestolpert bin möchte ich sie verstehen:

Wenn ich jetzt den rotate Wert auf "-1" setze, dann werden wohl keine wtmp.* Dateien gelöscht. Ich verstehe aber den Vorgang nicht was diese sich dann anhäufenden alten wtmp.* Dateien "rotieren bzw rotiert werden? Mich interessiert das im Grunde auch nicht. Aber ich bin nicht sicher ob nicht etwas passiert was ich nicht will? (Dieses ganze Gemache mit olddir und was weiß ich verunsichert mich etwas)

[MSfree]

Wenn ich jetzt den rotate Wert auf "-1" setze, dann werden wohl keine wtmp.* Dateien gelöscht.

Richtig, dann werden die Dateien ewig aufgehoben.Das kann natürlich irgendwann den Plattenplatz füllen. Das Plattenplatzproblem läßt sich aber reduzieren, indem man compress angibt, was die rotierten Dateien zusätzlich komprimiert.

Ich verstehe aber den Vorgang nicht was diese sich dann anhäufenden alten wtmp.* Dateien....

Wenn die Bedingung für die Rotation erfüllt ist (z.B. älter als ein Monat oder größer als 10MB) dann wird
wtmp in wtmp.1 umbenannt, sollte wtmp.1 bereits existieren, wird vorher wtmp.1 in wtmp.2 umbenannt, sollte wtmp.2 bereits existieren, wird vorher wtmp.2 in wtmp.3 umbenannt ....

Wenn sich bereits hunderte alte Dateien auf /var/log befinden, kann das Umbenennen auch mal etwas länger dauern. Neben dem Plattenplatzproblem kann also auch noch ein Geschwindikgkeitsproblem oben drauf kommen.

Daher stellt man den "rotate"-Wert typischerweise nicht auf -1 sondern auf eine sorgfältig ausgewählte Zahl. Wenn man monatlich rotiert, hat man mit rotate 42 einen Zaitraum von 3.5 Jahren abgedeckt.

[GregorS]

Wenn sich bereits hunderte alte Dateien auf /var/log befinden, kann das Umbenennen auch mal etwas länger dauern. Neben dem Plattenplatzproblem kann also auch noch ein Geschwindikgkeitsproblem oben drauf kommen.

Was meinst Du mit „etwas länger“? Das Umbenennen einer Datei dauert auf meinem nicht gerade schnellen Rechner knapp 15 ms. Bei 100 Dateien wären das 1,5 Sekunden. Findest Du das lange? Oder denkst Du dabei noch an eine 386er Single-Core-CPU mit 16 MHz?

Gruß

Gregor

[michaa7]

...dann wird
wtmp in wtmp.1 umbenannt, sollte wtmp.1 bereits existieren, wird vorher wtmp.1 in wtmp.2 umbenannt, sollte wtmp.2 bereits existieren, wird vorher wtmp.2 in wtmp.3 umbenannt ....

Ok, verstanden. Allerdings nicht warum sich die Entwickler dieses Nadelöhr gebastelt haben. Das führt hier zwar zu weit, aber es ist nicht offensichtlich warum die Reihenfolge nicht aufsteigend bleiben könnte ...

... Daher stellt man den "rotate"-Wert typischerweise nicht auf -1 sondern auf eine sorgfältig ausgewählte Zahl. Wenn man monatlich rotiert, hat man mit rotate 42 einen Zaitraum von 3.5 Jahren abgedeckt.

Das hat dann den Effekt, dass für einen Zeitraum von 3.5 Jahren keine neue Datei angelegt wird soweit man auch den minsize Wert angepasst, weil der, nach rotate stehend, sonst dennoch ein rotate auslößt und von den 42 Wochen nur einige wenige Wochen übrigblieben, richtig?

Neee, jetzt bin ich völlig durcheinander, was "monthly" und was "rotate <Zahl>" genau auslösen.


EDIT:

Ok. Verstanden rotate 42 erzeugt 42 monatliche files. Man kannn dann also mehr oder minder gut den gesuchten Monat abschätzen/berechnen und dann dort suchen.. Nicht sehr handy. Schade dass es keine Option zwischen monthly und yearly gibt.
Ich will jetzt aber auch nciht übertreiben. Ich habe "last", soweit es weiter zurückliegt als die vergangenen Tage nun nach fast 2 Jahrzehnten linux zum ersten mal gebraucht ...

[MSfree]

Das hat dann den Effekt, dass für einen Zeitraum von 3.5 Jahren keine neue Datei angelegt wird

Nein, das heißt, daß maximal 42 Dateien aufgehoben werden. Ist noch keine rotierte Datei vorhanden, heißt die erste eben wtmp.1. Sind bereits eine wtmp.1 bis wtmp.42 vorhanden, dann wird wtmp.42 gelöscht und der Rest durchrotiert.

[MSfree]

Man kannn dann also mehr oder minder gut den gesuchten Monat abschätzen/berechnen

Das Erstellungsdatum der Datei ändert sich durch die Rotation nicht. Man kann das Datum also direkt ablesen.

[michaa7]

Man kannn dann also mehr oder minder gut den gesuchten Monat abschätzen/berechnen

Das Erstellungsdatum der Datei ändert sich durch die Rotation nicht. Man kann das Datum also direkt ablesen.

Ahhhh, das ist ein guter Hinweis. Danke, ja , das hilft bei der suche extrem!