Los registros de inicio de sesión para el 'último ‘ comando se guardan en un archivo de datos ‘/var/log/wtmp '. El comando 'último' analiza este archivo de datos y devuelve la salida. También hay una disposición para otro archivo de datos '/var/log/btmp ‘ que se creará para almacenar inicios de sesión incorrectos, que se pueden leer con el comando ‘lastb ‘.
Uso de logrotate para rotar los archivos wtmp/btmp
Para evitar que un gran volumen de archivos de registro llene el sistema de archivos '/var/log', existe una función llamada logrotate. Un trabajo cron diario llama a este logrotate a la acción una vez al día. Logrotate consulta su archivo de configuración '/etc/logrotate.conf' para obtener instrucciones sobre qué archivos de registro se deben rotar y cuándo.
El archivo de configuración de Logrotate es '/etc/logrotate.conf '. Logrotate maneja la rotación de /var/log/wtmp. Como wtmp no es propiedad de un paquete específico, su configuración logrotate no está en /etc/logrotate.d sino directamente en /etc/logrotate.conf.
Esta es la configuración predeterminada:
/var/log/wtmp { monthly create 0664 root utmp rotate 1 }
Para hacer que wtmp rote con más frecuencia (evitando así que crezca demasiado), cambie la frecuencia de la rotación de mensual a semanal y/o establezca un umbral de rotación basado en el tamaño.
Ejemplos de configuraciones de logrotate >1. Para tener información de inicio de sesión de un año en su sistema, edite '/etc/logrotate.conf' para tener la siguiente configuración:
/var/log/wtmp { monthly create 0664 root utmp rotate 1 }
Cambie la rotación "mensual" a "anual" o manténgala en "mensual" y cambie el número de rotaciones a 13, como se muestra a continuación.
/var/log/wtmp { yearly create 0664 root utmp rotate 1 }
o
/var/log/wtmp { monthly create 0664 root utmp rotate 13 }
Leyendo los archivos wtmp antiguos
Para que el "último" comando se lea de un archivo girado antiguo, ejecute el comando como se muestra a continuación:
# last -f [path to rotated file]