/var/log/lastlog es un archivo binario que contiene información sobre la última vez que los usuarios iniciaron sesión en el sistema. El archivo lastlog es un archivo disperso, lo que significa que el tamaño aparente informado por "ls -l" es mayor que el uso real del disco del archivo (du), porque no todos los bloques del archivo están asignados en el disco.
El archivo disperso es un tipo de archivo de computadora que intenta usar el espacio del sistema de archivos de manera más eficiente cuando los bloques asignados al archivo están en su mayoría vacíos. Esto se logra escribiendo información breve (metadatos) que representan los bloques vacíos en el disco en lugar del espacio "vacío" real que constituye el bloque, utilizando menos espacio en el disco (es decir, los archivos dispersos contienen bloques de ceros cuya existencia se registra, pero no tienen espacio asignado en el disco). El tamaño de bloque completo se escribe en el disco como el tamaño real solo cuando el bloque contiene datos "reales" (no vacíos).
Al leer archivos dispersos, el sistema de archivos convierte de forma transparente los metadatos que representan bloques vacíos en bloques "reales" llenos de cero bytes en tiempo de ejecución. La aplicación no es consciente de esta conversión. Los archivos dispersos se usan comúnmente para imágenes de disco, instantáneas de bases de datos, archivos de registro, etc.
El archivo lastlog contiene información sobre la última vez que un usuario inició sesión en el sistema. Si desea conservar esta información, utilice el comando lastlog para exportar la información de registro antes de volver a crear el archivo /var/log/lastlog o copie el archivo /var/log/lastlog existente en una ubicación alternativa.
1. Realice una copia de seguridad del contenido de lastlog existente.
# lastlog > /tmp/lastlog.txt
O
# cp /var/log/lastlog /opt/lastlog.bkp
2. Ahora sobrescriba el archivo usando cualquiera de los siguientes comandos:
# >/var/log/lastlog
O
# cat > /var/log/lastlog