Archivo de logging que `sudo último` los accesos?

El command bash last (necesita sudo) imprime loggings, que contienen información sobre cuándo diferentes usuarios inician / salen del shell.

He estado buscando el file que almacena esta información, que el last acceso. He comprobado /var/log/system.log y otros files dentro de /var/log .

He buscado por todas partes en el Internet también, y no puedo encontrar la localización.

Sin embargo, he confirmado que el file está dentro de /var/log , porque cuando hice rm -rf /var/log/ , sudo last mostró la salida vacía hasta la próxima vez que entré.

¿Qué file es? Gracias.

(Estoy usando OS X Mavericks si hace una diferencia.)

  • Transporte de casa a trabajo (~ 10 min en coche), ¿Debo simplemente hacer que mi MacBook Pro duerma, o cerrarlo completamente abajo primero?
  • ¿Utilizar la pantalla externa sólo con MacBook?
  • ¿Es posible desactivar la regulación de la CPU en un MacBook Pro con una batería completamente inactiva (no reconocida)?
  • ¿Cómo puedo hacer que los posts que se me envíen dejen de ir a mi Mac?
  • ¿Se puede replace una pantalla de MacBook sin retina por una pantalla de Retina?
  • El Capitan Safari no puede abrir http: // localhost / después de iniciar Apache
  • 3 responses to “Archivo de logging que `sudo último` los accesos?”

      Alano said:

      last deriva su salida examinando los files * .launchd.events. * .stats en /private/var/log/com.apple.launchd .

      Eliminar los files normalmente restringe la last salida al último inicio de session después de reiniciar. En consecuencia, debe existir alguna estructura adicional de file / database / memory.

      La eliminación de los files no funciona de forma coherente.

      Los files de statistics en las carpetas de usuario respectivas (por ejemplo, com.apple.launchd.peruser.0 o com.apple.launchd.peruser.501) son irrelevantes!

      daniel azuelos said:

      El file (ejecutable) en cuestión es /var/run/syslog

      Si ejecutamos al man last vez conseguimos

       SEE ALSO lastcomm(1), utmpx(5), ac(8) 

      Podemos encontrar utmpx en el /var/run directory Utmpx es una database de contabilidad de usuario de la información de inicio de session actual . La key aquí es esta statement encontrada en la página de utmpx de utmpx

      Tradicionalmente, se utilizarían files separados para almacenar el logging de ejecución de los inicios de session y los logouts (wtmpx), y el último inicio de session de cada usuario (lastlogx). Con la disponibilidad de la function de logging de sistema de Apple asl (3), estos files independientes se pueden replace con inputs de logging, que se generan automáticamente cuando se escriben las inputs de utmpx.

      Así, utmpx está generando inputs de logging en la function syslog del OS X. Ejecute el siguiente command:

      syslog | grep 'login\['

      Y obtendrá una list de todos los events de inicio de session desde que se instaló el sistema operativo (truncado)

       May 26 17:03:12 Allans-iMac login[5572] <Notice>: USER_PROCESS: 5572 ttys003 May 26 17:26:15 Allans-iMac login[5572] <Notice>: DEAD_PROCESS: 5572 ttys003 May 27 10:10:57 Allans-iMac login[5196] <Notice>: DEAD_PROCESS: 5196 ttys002 May 27 10:10:58 Allans-iMac login[4741] <Notice>: DEAD_PROCESS: 4741 ttys001 May 27 10:11:18 Allans-iMac login[6253] <Notice>: USER_PROCESS: 6253 ttys001 May 27 10:25:45 Allans-iMac login[6281] <Notice>: USER_PROCESS: 6281 ttys002 May 27 17:17:15 Allans-iMac login[6281] <Notice>: DEAD_PROCESS: 6281 ttys002 May 27 17:17:21 Allans-iMac login[6253] <Notice>: DEAD_PROCESS: 6253 ttys001 May 28 13:40:06 Allans-iMac login[7123] <Notice>: USER_PROCESS: 7123 ttys001 May 30 09:11:25 Allans-iMac login[1213] <Notice>: USER_PROCESS: 1213 ttys000 May 30 09:11:25 Allans-iMac login[1220] <Notice>: USER_PROCESS: 1220 ttys001 May 30 09:23:19 Allans-iMac login[1220] <Notice>: DEAD_PROCESS: 1220 ttys001 May 30 09:23:19 Allans-iMac login[1213] <Notice>: DEAD_PROCESS: 1213 ttys000 May 30 20:57:16 Allans-iMac login[1695] <Notice>: USER_PROCESS: 1695 ttys000 May 30 20:57:39 Allans-iMac login[1695] <Notice>: DEAD_PROCESS: 1695 ttys000 May 31 22:33:30 Allans-iMac login[2592] <Notice>: USER_PROCESS: 2592 ttys000 Jun 3 16:46:28 Allans-iMac login[2592] <Notice>: DEAD_PROCESS: 2592 ttys000 Jun 4 20:44:43 Allans-iMac login[1789] <Notice>: USER_PROCESS: 1789 ttys000 

      Para información adicional de contabilidad de usuario, podemos usar el command ac

      El man ac nos ejecuta nos da

        NAME ac -- display connect-time accounting SYNOPSIS ac [-d] [-p] [-w file] [users ...] DESCRIPTION A record of individual login and logout times are written to the system log by login(8) and launchd(8), respectively. The program ac examines these records and writes the accumulated connect time (in deci- mal hours) for all logins to the standard output. 

      Por lo tanto, de acuerdo con la información de inicio de session man ac se escribe en el logging del sistema. Ejecutar ac nos da "Si no se dan arguments, ac muestra la cantidad total de time de inicio de session para todas las counts activas en el sistema."

       $ ac total 2477.23 

      Para desglosarla por el usuario:

       $ ac -p testguy 0.04 _mbsetupuser 0.39 allan 2476.74 root 0.07 total 2477.24 
      patrix said:

      last es usar los files /var/log/asl/* .

      Disparo dentro de una window de Terminal :

       /usr/bin/sudo opensnoop 

      y en otro:

       last 

      le mostraremos esto en detalle.

      Si quieres leerlo desde la fuente, aquí está:

       http://opensource.apple.com/release/os-x-1011/ 

      download:

       Libc-1081.1.3 

      extraer este file tar comprimido:

       tar fjx Libc-1081.1.3.tar.gz 

      y leer:

       Libc-1081.1.3/gen/utmpx-darwin.c 
    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).