Назначение файлов utmp, wtmp, btmp

Thank you for reading this post, don't forget to subscribe! 
В отли­чие от фай­лов syslog и фай­лов auth.log, все эти фай­лы явля­ют­ся дво­ич­ны­ми фай­ла­ми (бинар­ни­ки).
Таким обра­зом, мы не можем исполь­зо­вать наши обыч­ные тек­сто­вые инстру­мен­ты, такие как less или grep, что­бы читать их или извле­кать из них информацию.
Вме­сто это­го мы будем исполь­зо­вать неко­то­рые спе­ци­аль­ные инстру­мен­ты, кото­рые могут читать эти дво­ич­ные файлы.
  • utmp предо­став­ля­ет вам пол­ное пред­став­ле­ние о вхо­де поль­зо­ва­те­лей в систе­му, в каких тер­ми­на­лах, выхо­дах из систе­мы, систем­ных собы­ти­ях и теку­щем состо­я­нии систе­мы, вре­ме­ни загруз­ки систе­мы (исполь­зу­ет­ся uptime) и т. д.
  • wtmp предо­став­ля­ет исто­ри­че­ские дан­ные utmp.
  • btmp запи­сы­ва­ет толь­ко неудач­ные попыт­ки вхо­да в систему.

Команды w и who

Коман­ды w и who извле­ка­ют инфор­ма­цию о том, кто вошел в систе­му и что они дела­ют, из фай­ла /var/run/utmp.

Если вы хоти­те уви­деть спи­сок поль­зо­ва­те­лей, кото­рые в дан­ный момент вошли в систе­му, исполь­зуй­те who:

Команда last

Коман­да last предо­став­ля­ет инфор­ма­цию о том, как поль­зо­ва­те­ли вошли в систе­му, когда они вошли в систе­му, когда они вышли из систе­мы, и т.д. :


Мы так­же можем исполь­зо­вать коман­ду last для чте­ния содер­жи­мо­го фай­лов wtmp, utmp и btmp.

Напри­мер:

Команда lastb

Вы може­те про­смот­реть теку­щую исто­рию заре­ги­стри­ро­ван­ных сеан­сов, содер­жа­щих­ся в /var/run/btmp, набрав:

Команда utmpdump

Теперь, учи­ты­вая, что дво­ич­ные фай­лы нель­зя про­смат­ри­вать с помо­щью базо­вых команд чте­ния, таких как cat, less и more, и в тоже вре­мя не про­сто пола­гать­ся на базо­вые коман­ды, такие как last, who, lastb и дру­гие, дру­гой под­ход заклю­ча­ет­ся в исполь­зо­ва­нии коман­ды utmpdump:

Поэто­му, если вы хоти­те про­чи­тать содер­жи­мое дво­ич­ных фай­лов wtmp, utmp или btmp, исполь­зуй­те команду: