Ir al contenido principal

Como leer/visualizar archivos utmp, wtmp y btmp en Linux

Lectores, les paso este "Como" de linux, algo que debe ser usado por cualquier sysadmin de Linux. Esperando aportar conocimiento, aqui les dejo.

Introducción.


En sistemas operativos Linux/Unix todo es registrado en algun lado (los conocidos logs). La mayoria de registros del sistema se almacenan en el directorio /var/log. El directorio contiene registros relacionados a distintos servicios y/o aplicaciones.

En este directorio tenemos algunos archivos como utmp, wtmp y btmp. Estos archivos contienen todo el detalle de registro de inicio (login) y termino (logout) de sesiones de usuarios ya sea local, sistemas remoto, como estado en el sistema, tiempo en linea, etc.

Informacion sobre los archivos


  • utmp: te mostrara informacion completa del acceso de usuarios, la terminal que usa, termino de sesion, eventos del sistema y el estado actual del mismo, etc.
  • wtmp: contiene el historio del archivo utmp
  • btmp: registros solo intentos fallidos de sesion.


Como no revisar

Normalmente, cuando intentamos visualizar el contenido de estos archivos con el comando cat o el editor vi(m), estos muestran datos ilegibles, valores "basura", formato hexadecimal o encriptado. Esto se puede ver al intentar visualizar:

uribes@localhost:~$ cat /var/log/wtmp
&
pts/1/1uribes:0.0 AkU��
                       pts/2/2root:0.0�Akpts/1/1uribes�AkUpts/2/2root BkU�8&
pts/1/1uribes:0.0�BkU�&
pts/3/3uribes:0.07JkU�pts/3/3uribesSJkU�m
pts/1/1uribesWJkU�7 &
pts/1/1uribes:0.0�NkUIpts/1/1uribes;RkU�=�xpts/1/1uribes:0.0>RkU�
&ts/1/1uribesGRkU

Como revisar

Para leer estos archivos es necesario utilizar el comando last. El comando last es uno de los comandos importantes que te indicara los registros de sesion, cuando se registraron y finalizaron, la terminal, etc. Esto sale en mi equipo:

uribes@localhost:~$ last
uribes   pts/1        :0.0             Sun May 31 12:52   still logged in   
uribes   pts/1        :0.0             Sun May 31 12:26 - 12:26  (00:00)    
uribes   pts/1        :0.0             Sun May 31 12:10 - 12:26  (00:15)    
uribes   pts/3        :0.0             Sun May 31 11:51 - 11:52  (00:00)    
uribes   pts/1        :0.0             Sun May 31 11:20 - 11:52  (00:32)    
root     pts/2        :0.0             Sun May 31 11:16 - 11:16  (00:00)    
uribes   pts/1        :0.0             Sun May 31 11:12 - 11:16  (00:03)    

wtmp begins Sun May 31 11:12:59 2015

Como ven, muestra el detalle de actividad de registro/termino. Este mismo comando puede ser utilizado para leer los archivos utmp, wtmp y btmp. Para esto podemos ejecutar de la siguiente forma:

uribes@localhost:~$ last -f /var/log/wtmp
uribes   pts/1        :0.0             Sun May 31 12:52   still logged in   
uribes   pts/1        :0.0             Sun May 31 12:26 - 12:26  (00:00)    
uribes   pts/1        :0.0             Sun May 31 12:10 - 12:26  (00:15)    
uribes   pts/3        :0.0             Sun May 31 11:51 - 11:52  (00:00)    
uribes   pts/1        :0.0             Sun May 31 11:20 - 11:52  (00:32)    
root     pts/2        :0.0             Sun May 31 11:16 - 11:16  (00:00)    
uribes   pts/1        :0.0             Sun May 31 11:12 - 11:16  (00:03)    

wtmp begins Sun May 31 11:12:59 2015

El parametro de -f de last es para indicarle el archivo que deseamos leer. Existen otros parametros utiles para la visualizacion. Te recomiendo revisar el manual del comando last(1).

Es asi como podemos visualizar el contenido y poder ver quiene esta, cuanto tiempo, que terminal, etc. Si bien es posible ejecutar el comando w, que tambien muestra informacion de quien esta en linea y desde que terminal/ip, no esta de mas revisar otros registros.

Esto seria todo, se vale comentar. Saludos.


Etiquetas:

Comentarios

Publicar un comentario

Son bienvenidos tus comentarios, solo se respetuoso. Saludos

Entradas más populares de este blog

Como montar particiones LVM en Linux

Como están lectores, reportandome después de varios meses fuera. Hace un par de días vi un howto que me gusto y quiero compartir. Nota: lo siguiente es una traducción, el original lo pueden ver el siguiente link: How to mount an LVM partition on Linux Introducción LVM es una herramienta de administración de volúmenes lógicos (particiones) la cual te permite administrar el espacio de disco usando la connotación de volúmenes lógicos y grupo de volúmenes. El mayor beneficio de usar LVM sobre las particiones clásicas es la flexibilidad en la asignación de almacenamiento para usuarios y aplicaciones sin verse limitado por el tamaño de los discos individuales. En LVM, el almacenamiento físico, en el cual se crean los volúmenes lógicos, son particiones tradicionales (/dev/sda1, /dev/sda2). Estas particiones deben ser marcadas como "volúmenes físicos" y etiquetadas como "Linux LVM", esto para ser usadas en LVM. Como no montar Unas vez que las particiones h...
5 comentarios
Leer más

Configurando interfaces de red virtuales en Linux

Estimados, de nuevo en acción retomando mi rumbo. Les traigo un traducción de un howto que me llamo la atención y creo que es bueno tener información en castellano. Así que aquí esta: La entrada original la pueden tener aqui (si te gusta leer en ingles), comencemos. Introducción ¿Sabia que puedes asignar mas de una dirección IP a una única interfaz de red? Esta técnica es muy utilizada, por ejemplo cuando se trabaja con Apache y host virtuales, esto para permitir accesar al mismo servicio pero usando dos direcciones IP. Interfaz de red virtual temporal  El proceso de crear interfaces de red virtual en +GNU/Linux  es muy simple. Esto involucra una ejecución simple del comando ifconfig ifconfig eth0:0 123.123.22.22 El comando anterior creara una nueva interfaz de red virtual basada en la interfaz física de eth0 . Lo condición mas importan...
Publicar un comentario
Leer más