やりたいこと
ある時刻にてAIX機サーバにログインしていたユーザを調査する。
環境情報
- AIX 7.1
やり方
lastコマンドにてログイン情報を表示してgrepコマンドで絞る。
例えば9月7日の情報を見たければ以下とする。
$ last | grep "Sep 07"
出力結果例は以下。
user01 pts/15 10.200.200.X Sep 07 12:04 - 12:07 (00:03) ftpuser ftp 10.200.200.Y Sep 07 12:03 - 12:03 (00:00) ...
以下、補足です。
補足
現在ログインしているユーザはwhoコマンドで確認できますが、過去に遡る場合はlastコマンドを利用します。
このコマンドでは/var/adm/wtmpファイルに記載されているログインとログオフの情報を元にログイン時刻とログイン時間、ログイン元IPまで表示できます。
このファイル自身はOther権限に読み書きがあるadmというユーザ所持のファイルですが
$ ls -l /var/adm/wtmp -rw-rw-r-- 1 adm adm XXXX ...
実体には一部バイナリーが入っているのでcatなどでは開かない方がよいです。
$ file /var/adm/wtmp /var/adm/wtmp: データまたは国際言語テキスト
ファイル自体はメンテナンスしないと肥大化するファイルでもあるので定期的にローテーションを行うことが求められ、最も過去のデータはtailをすれば分かります。
$ last | tail -n 5 .... wtmpは Sep01 00:05から始まっています
バッチ用ユーザでも記録に残るためトラブルが起きた際の調査に重宝するコマンドですが、送信元IPはNATされている場合は実IPとは異なるのでそこはご注意ください。
