Wofür ist wtmp in /var/log?

minimike · Beitrag von **minimike** » 14.03.2006 12:46:10

Hi habe ein System mit Sarge, 64 MB Arbeitspeicher, einer 500 MB Platte für das System und einer mit 12 GB für Daten. Darauf läuft ausschlieslich edonkey und ssh. Nach dem letzten Einloggen war das Rootfs arg voll, die dicken Daten wurden schnell lokalisiert.

Code: Alles auswählen

du -sh /var/log/*
*schnipp*
0       user.log
4.0K    user.log.0
4.0K    user.log.2.gz
4.0K    user.log.3.gz
0       uucp.log
60M     wtmp
90M     wtmp.1

Wofür ist wtmp gut, bzw. wessen Log ist das? Und mit was mach ich die Datei auf? Mit vim konnte ich das nicht öffnen,

Beitrag von **feltel** » 14.03.2006 13:10:12

In der /var/log/wtmp werden alle Login- und Logout-Vorgänge festgehalten. Die Datei kann man mit "last" auswerten. Die wtmp.1 bei Dir stammt von logrotate, d.h. es ist eine alte Datei die Du wenn Du sie nicht brauchst löschen kannst.

Methusalix · Beitrag von **Methusalix** » 14.03.2006 17:29:42

Hallo,

dann kannst Du noch:

Code: Alles auswählen

cp /dev/null/ /var/log/wtmp

weitere 60M freischaufeln, wenn Du die Einträge nicht benötigst. Dabei wird nur der Inhalt der Datei, nicht aber die Datei selber gelöscht.

Gruß
Matthias

minimike · Beitrag von **minimike** » 14.03.2006 23:48:19

Hmm

Code: Alles auswählen

Reformatting last(1), please wait...
eselbox:/var/log# last -f wtmp
root     pts/0        192.168.1.80     Fri Mar 10 14:59 - 12:06 (3+21:06)
reboot   system boot  2.6.11.12-xenU   Fri Mar 10 14:58         (4+07:12)
root     pts/0        192.168.1.251    Thu Mar  9 16:46 - 16:46  (00:00)
reboot   system boot  2.6.11.12-xenU   Thu Mar  9 16:46          (22:11)
root     pts/0        192.168.1.251    Thu Mar  9 16:44 - down   (00:01)
reboot   system boot  2.6.11.12-xenU   Thu Mar  9 16:44          (00:01)
reboot   system boot  2.6.11.12-xenU   Thu Mar  9 16:41          (00:04)
root     tty1                          Thu Mar  9 16:41 - down   (00:00)
reboot   system boot  2.6.11.12-xenU   Thu Mar  9 16:33          (00:08)
root     pts/0        192.168.1.80     Tue Mar  7 17:20 - 17:23  (00:02)
root     pts/0        192.168.1.80     Tue Mar  7 14:31 - 14:37  (00:06)
reboot   system boot  2.6.11.12-xenU   Tue Mar  7 14:30         (2+02:11)
root     pts/0        192.168.1.80     Sun Mar  5 10:42 - 12:14  (01:32)
reboot   system boot  2.6.11.12-xenU   Sun Mar  5 09:50         (2+04:39)
root     pts/0        192.168.1.80     Sun Mar  5 09:49 - down   (00:00)
root     pts/0        192.168.1.80     Sat Mar  4 23:23 - 01:37  (02:13)
root     pts/0        192.168.1.80     Sat Mar  4 23:19 - 23:19  (00:00)
root     pts/0        192.168.1.80     Sat Mar  4 22:12 - 23:03  (00:50)
root     pts/0        192.168.1.80     Sat Mar  4 21:04 - 21:12  (00:08)
root     pts/0        192.168.1.80     Sat Mar  4 20:47 - 20:57  (00:10)
root     pts/0        192.168.1.80     Sat Mar  4 19:15 - 19:53  (00:38)
root     pts/0        192.168.1.80     Sat Mar  4 18:14 - 18:14  (00:00)
reboot   system boot  2.6.11.12-xenU   Sat Mar  4 18:13          (15:36)
root     pts/0        192.168.1.80     Thu Mar  2 22:06 - 22:06  (00:00)
reboot   system boot  2.6.11.12-xenU   Thu Mar  2 14:53         (2+02:37)
root     pts/0        192.168.1.80     Wed Mar  1 22:09 - 22:09  (00:00)

wtmp begins Wed Mar  1 06:27:15 2006

Das ist das Ergebniss von "last", jetzt verstehe ich aber nicht warum die Datei bei den paar Einträgen so fett ist. Ich habe zunehmend den Verdacht das da was nicht ordungsgemäss funktioniert. Die Kiste habe ich in XEN virtualisiert. Die beiden virtuellen Platten sind zwar schnell exikutiert, aber ich habe das deshalb so laufen das wenn der Esel das System beim einem Crash mitnimmt nicht der ganze Rechner ausgeschaltet ist. So chkrootkit meldet folgendes

Code: Alles auswählen

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... 1 deletion(s) between Thu Mar  9 14:03:20 2006 and Thu Mar  9 16:33:12 2006
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

Ich halte es für unwahrscheinlich das da Eingebrochen wurde. Die Kiste ist nix wert. Alle anderen Rechner im Netzwerk schauen in Ordnung aus.

suggestion? Thanx

Methusalix · Beitrag von **Methusalix** » 15.03.2006 00:44:45

Hallo,

die Größe Deiner Dateien ist wirklich beeindruckend. Ich habe mal rumgespielt und dabei bemerkt, das bei mir mit jedem login ca. 1kb dazu kommt und mit jedem logout dann ebenfalls. Kommt es bei Dir zu vielen login/logout Vorgängen? Unix-Systeme sind halt sehr protokollierfreudig

. Die ablaufenden Prozesse hängen übrigens auch mit /var/run/utmp zusammen (siehe man utmp).
Es werden in jedem Fall mehr Informationen gespeichert, als durch last ausgegeben.
Schau Dir z.B. mal die Ausgabe von

Code: Alles auswählen

lastb

an. Da werden auch die Daten von wtmp ausgewertet.

Gruß
Matthias

minimike · Beitrag von **minimike** » 15.03.2006 01:38:48

hmm so wie es ausschaut spuckt er nur Einträge ab 1. März aus. Lassen sich Manipulationen ausschliesen? Wenn diese Mühle betroffen ist mus ich das dann wohl auch mit den 3 anderen Systemen kurzen Prozess machen die parrallel auf dem Rechner laufen.

Beitrag von **feltel** » 15.03.2006 07:30:01

Matthias-GE hat geschrieben: Schau Dir z.B. mal die Ausgabe von
Code: Alles auswählen
lastb
an. Da werden auch die Daten von wtmp ausgewertet.

Du meinst sicher ".... da werden auch die Daten von /var/log/btmp ausgewertet".

man last hat geschrieben: Lastb is the same as last, except that by default it shows a log of the
file /var/log/btmp, which contains all the bad login attempts.

Methusalix · Beitrag von **Methusalix** » 15.03.2006 12:57:55

Hallo,

alles klar; da bin ich beim rumspielen wohl durcheinander geraten. Ist so spät nachts wohl auch nicht die klügste Idee.

Gruß
Matthias

debianforum.de