是什么导致wtmp被清除的？

Question

我注意到，在我的一台机器上，last命令没有返回任何内容。我确定原因是一个空的/var/log/wtmp文件。是什么让这个变成空的？我假设"tmp“是临时的，但是是什么决定了这个日志文件的临时性？

Answer 1

/var/log/wtmp通常由每月cron作业旋转(或刚刚清除)，或者在/etc/logrotate.d/中使用配置文件。

例如:在我的Debian系统上，/etc/logrotate.d/wtmp中的所有行都被注释掉了，但是/etc/cron.monthly/acct (来自acct GNU会计实用程序包)旋转它并生成一个月度报告(/var/log/wtmp.report)。

检查是否有/var/log/wtmp.1、/var/log/wtmp.2等。可能是用.gz文件扩展名压缩的。

您可以使用last's -f选项查看其他wtmp文件中的记录。

last -f /var/log/wtmp.1

来自man last：

-f，--file file最后告诉您使用一个特定的文件而不是/var/log/wtmp。可以多次给出--file选项，并且所有指定的文件都将被处理。

顺便说一下，last -f无法读取压缩的wtmp文件。如果它被压缩了，您必须首先对它进行gunzip。