Last

По умолчанию показывает записи только за последний месяц (до первого числа) из файла /var/log/wtmp. Также глубина ротация ограничена всего 5 месяцами - максимум будет 5 файлов wtmp wtmp.0  wtmp.1  wtmp.2  wtmp.3 потому что в /etc/newsyslog.conf указано  /var/log/wtmp                          644  3     *    @01T05 B 
 * 1) logfilename          [owner:group]    mode count size when  flag

Надо увеличивать значение до 36, например. Значение больше 99 без дополнительных сообщений игнорируются (PR bin/98468:).

last gygenot         pts/2    80.23.334.325     Wed Mar 17 22:03 - 05:33  (07:29) wtmp begins Wed Mar 17 22:03:21 UTC 2010

last -f /var/log/wtmp.1

Самые последние записи выводятся наверху. Следующая запись означает, что пользователь lke вошел в систему и в 22:03 и до сих пор в ней находится. Загрузка компьютера произошла в 22:03. Перед этим он 10 часов был выключен, а само выключение (корректное) произведено было в 12:44. lke             ttyv0                     вс  3 окт 22:03   still logged in reboot          ~                         вс  3 окт 22:03 shutdown        ~                         вс  3 окт 12:44

Включение компьютера выглядит вот так в логе. pts/0 это запуск xterm в запущенных X, tty0 это логин в систему. В скобках (18:20) указана продолжительность сесиии. Т.е. по факту с компьютером работали это время, после чего Xorg был завершен. lke             pts/0    :0.0             Tue Jan 18 23:35 - 23:44  (00:09) lke             ttyv0                     Tue Jan 18 23:35 - shutdown  (18:20) reboot          ~                         Tue Jan 18 23:33 Соответственно, на включение машины указывает слово reboot.

utmp файл используется для рабоыт команд rwho, users, w, who.


 * 1) define _PATH_UTMP     "/var/run/utmp"
 * 2) define _PATH_WTMP     "/var/log/wtmp"
 * 3) define _PATH_LASTLOG  "/var/log/lastlog"