Archivo de logging que `sudo último` los accesos?

El command bash last (necesita sudo) imprime loggings, que contienen información sobre cuándo diferentes usuarios inician / salen del shell.

He estado buscando el file que almacena esta información, que el last acceso. He comprobado /var/log/system.log y otros files dentro de /var/log .

  • Cómo prevenir 'sudo rm -rf /'
  • ¿Hay un command bash para comprobar si Time Machine ha finalizado la copy de security?
  • Obtención de files, todos a la vez, desde una página web utilizando curl
  • Espacios en un nombre de carpeta
  • No se puede establecer DYLD_FALLBACK_LIBRARY_PATH en shell en OSX 10.11.1
  • Falta los files .bash_profile y .bashrc
  • He buscado por todas partes en el Internet también, y no puedo encontrar la localización.

    Sin embargo, he confirmado que el file está dentro de /var/log , porque cuando hice rm -rf /var/log/ , sudo last mostró la salida vacía hasta la próxima vez que entré.

    ¿Qué file es? Gracias.

    (Estoy usando OS X Mavericks si hace una diferencia.)

  • Launchd script para montar el volumen en el arranque
  • Cómo listr las versiones instaladas del mismo progtwig
  • Actualización de las asignaciones de teclas de modificación a través de la herramienta de commands pnetworkingeterminados
  • Falta los files .bash_profile y .bashrc
  • Establecer el shell por defecto a MacPorts bash en Mac OS X 10.6.8?
  • opción -d para la split es ilegal en OS X 10.9
  • 3 Solutions collect form web for “Archivo de logging que `sudo último` los accesos?”

    last deriva su salida examinando los files * .launchd.events. * .stats en /private/var/log/com.apple.launchd .

    Eliminar los files normalmente restringe la last salida al último inicio de session después de reiniciar. En consecuencia, debe existir alguna estructura adicional de file / database / memory.

    La eliminación de los files no funciona de forma coherente.

    Los files de statistics en las carpetas de usuario respectivas (por ejemplo, com.apple.launchd.peruser.0 o com.apple.launchd.peruser.501) son irrelevantes!

    El file (ejecutable) en cuestión es /var/run/syslog

    Si ejecutamos al man last vez conseguimos

     SEE ALSO lastcomm(1), utmpx(5), ac(8) 

    Podemos encontrar utmpx en el /var/run directory Utmpx es una database de contabilidad de usuario de la información de inicio de session actual . La key aquí es esta statement encontrada en la página de utmpx de utmpx

    Tradicionalmente, se utilizarían files separados para almacenar el logging de ejecución de los inicios de session y los logouts (wtmpx), y el último inicio de session de cada usuario (lastlogx). Con la disponibilidad de la function de logging de sistema de Apple asl (3), estos files independientes se pueden replace con inputs de logging, que se generan automáticamente cuando se escriben las inputs de utmpx.

    Así, utmpx está generando inputs de logging en la function syslog del OS X. Ejecute el siguiente command:

    syslog | grep 'login\['

    Y obtendrá una list de todos los events de inicio de session desde que se instaló el sistema operativo (truncado)

     May 26 17:03:12 Allans-iMac login[5572] <Notice>: USER_PROCESS: 5572 ttys003 May 26 17:26:15 Allans-iMac login[5572] <Notice>: DEAD_PROCESS: 5572 ttys003 May 27 10:10:57 Allans-iMac login[5196] <Notice>: DEAD_PROCESS: 5196 ttys002 May 27 10:10:58 Allans-iMac login[4741] <Notice>: DEAD_PROCESS: 4741 ttys001 May 27 10:11:18 Allans-iMac login[6253] <Notice>: USER_PROCESS: 6253 ttys001 May 27 10:25:45 Allans-iMac login[6281] <Notice>: USER_PROCESS: 6281 ttys002 May 27 17:17:15 Allans-iMac login[6281] <Notice>: DEAD_PROCESS: 6281 ttys002 May 27 17:17:21 Allans-iMac login[6253] <Notice>: DEAD_PROCESS: 6253 ttys001 May 28 13:40:06 Allans-iMac login[7123] <Notice>: USER_PROCESS: 7123 ttys001 May 30 09:11:25 Allans-iMac login[1213] <Notice>: USER_PROCESS: 1213 ttys000 May 30 09:11:25 Allans-iMac login[1220] <Notice>: USER_PROCESS: 1220 ttys001 May 30 09:23:19 Allans-iMac login[1220] <Notice>: DEAD_PROCESS: 1220 ttys001 May 30 09:23:19 Allans-iMac login[1213] <Notice>: DEAD_PROCESS: 1213 ttys000 May 30 20:57:16 Allans-iMac login[1695] <Notice>: USER_PROCESS: 1695 ttys000 May 30 20:57:39 Allans-iMac login[1695] <Notice>: DEAD_PROCESS: 1695 ttys000 May 31 22:33:30 Allans-iMac login[2592] <Notice>: USER_PROCESS: 2592 ttys000 Jun 3 16:46:28 Allans-iMac login[2592] <Notice>: DEAD_PROCESS: 2592 ttys000 Jun 4 20:44:43 Allans-iMac login[1789] <Notice>: USER_PROCESS: 1789 ttys000 

    Para información adicional de contabilidad de usuario, podemos usar el command ac

    El man ac nos ejecuta nos da

      NAME ac -- display connect-time accounting SYNOPSIS ac [-d] [-p] [-w file] [users ...] DESCRIPTION A record of individual login and logout times are written to the system log by login(8) and launchd(8), respectively. The program ac examines these records and writes the accumulated connect time (in deci- mal hours) for all logins to the standard output. 

    Por lo tanto, de acuerdo con la información de inicio de session man ac se escribe en el logging del sistema. Ejecutar ac nos da "Si no se dan arguments, ac muestra la cantidad total de time de inicio de session para todas las counts activas en el sistema."

     $ ac total 2477.23 

    Para desglosarla por el usuario:

     $ ac -p testguy 0.04 _mbsetupuser 0.39 allan 2476.74 root 0.07 total 2477.24 

    last es usar los files /var/log/asl/* .

    Disparo dentro de una window de Terminal :

     /usr/bin/sudo opensnoop 

    y en otro:

     last 

    le mostraremos esto en detalle.

    Si quieres leerlo desde la fuente, aquí está:

     http://opensource.apple.com/release/os-x-1011/ 

    download:

     Libc-1081.1.3 

    extraer este file tar comprimido:

     tar fjx Libc-1081.1.3.tar.gz 

    y leer:

     Libc-1081.1.3/gen/utmpx-darwin.c 
    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).