Linux wtmp-loggfil: Registrering av inloggningar och systemhändelser

by
Linux wtmp-loggfil

Vad är wtmp?

wtmp är en binär loggfil i Linux-system som registrerar inloggnings- och utloggningshändelser samt systemets start- och avstängningstider. Genom att analysera denna fil kan administratörer spåra när en viss användare loggade in eller när systemet startades om.

Loggfilsens standardplats är:

/var/log/wtmp

Eftersom filen är i binärt format kan den inte läsas direkt med cat. Istället används specialiserade kommandon.

Hur man granskar wtmp-filen

För att visa wtmp-loggen används kommandot last:

last

Detta kommando visar de senaste inloggnings- och utloggningshändelserna samt systemets uppstart- och avstängningstider.

Exempelutgång:

user1    pts/0        192.168.1.10    Sun Mar 17 12:34 - 13:45  (1:11)
user2    tty2                        Sun Mar 17 10:15 - 10:50  (0:35)
reboot   system boot                 Sun Mar 17 09:00          (uptime 3:45)
shutdown system down                 Sat Mar 16 23:55

I denna logg ser vi:

  • user1 loggade in från 192.168.1.10pts/0 och var inloggad i 1 timme och 11 minuter.

  • reboot visar att systemet startades om klockan 09:00.

  • shutdown anger att systemet stängdes av föregående dag klockan 23:55.

Hantering av wtmp-filen

Eftersom loggfiler kontinuerligt skrivs till kan de bli mycket stora. Därför är det viktigt att hantera dem regelbundet.

Kontroll av filstorlek

ls -lh /var/log/wtmp

Återställning av wtmp-filen

Om du vill rensa loggen kan du tömma den:

> /var/log/wtmp

Observera att detta kräver root-behörighet och kan behöva köras med sudo.

Automatiserad hantering med logrotate

I Linux kan logrotate användas för att komprimera och arkivera wtmp-filen regelbundet. Konfigurationsfiler för detta finns i /etc/logrotate.conf eller /etc/logrotate.d/.

Exempel på konfiguration för att hantera wtmp-loggen:

/var/log/wtmp {
    monthly
    rotate 1
    create 0664 root utmp
}

Denna inställning roterar loggen varje månad och behåller en tidigare version.

Säkerhet och användning

Säkerhetsrevision

Genom att regelbundet granska wtmp-loggen kan du upptäcka obehöriga inloggningsförsök eller misstänkt aktivitet. Exempelvis kan oväntade inloggningstider eller okända IP-adresser identifieras med last.

Automatiserad övervakning

För att kontinuerligt övervaka inloggningar kan watch användas för att uppdatera last-utgången var 60:e sekund:

watch -n 60 last

Detta ger en realtidsvy över de senaste inloggningshändelserna.

Slutsats

wtmp är en kritisk loggfil i Linux som registrerar användarinloggningar, utloggningar samt systemets start- och avstängningstider. Med last kan denna information enkelt granskas, och genom att hantera loggfilerna regelbundet kan systemets säkerhet och prestanda förbättras. Genom att använda automatiserad hantering och regelbundna kontroller kan du effektivt övervaka och skydda ditt system.

Brygga (Bridge): En nyckelkomponent i nätverksanslutning

1 thought on “Linux wtmp-loggfil: Registrering av inloggningar och systemhändelser”

  1. Pingback: Effektivisering av datamodeller med normalisering – Swenden Car

Leave a Comment