it-gundan.com

왜 / var / log / wtmp가 그렇게 거대하게됩니까? WTMP 파일을 검사하는 방법은 무엇입니까?

가상 컨테이너 (Ubuntu Hardy)에 약간의 640MB WTMP 파일을 발견했습니다.

# last -n 10000 -f /var/log/wtmp.1|wc -l
384
# ls -hl /var/log/wtmp.1
-rw-rw-r-- 1 root utmp 641M 21. Sep 07:49 /var/log/wtmp.1

logrotate가 설치되지 않았습니다 (방금 그냥 회전하고 강제 회전했습니다).

last (마지막 1000 개의 항목을 표시해야하지만, 분명히 384 개만 있음)에 의해 표시되지 않는 레코드가 있습니다.

wtmp/utmp 맨 페이지를 빠르게 훑어 보면 단일 항목이 약 1,6MB를 사용해야합니다.

이 파일들을 검사하기 위해 last 외에 다른 프로그램이 있습니까?

7
blueyed

logrotate 좋은 생각이었습니다.

모든 일반 파일과 마찬가지로 WTMP는 실제로 디스크를 실제로 차지하는 극단적 인 파일 크기를 표시 할 수있는 "Sparse"(CF. LSEEK (2) "홀"및 ls -s)를 가질 수있었습니다. 구멍이 있는데 어떻게 구멍이 있었습니까? getty(8)와 친구들은 버그를 가질 수있었습니다. 또는 시스템 충돌 및 FSCK 수리가 발생할 수 있습니다.

WTMP의 원시 내용을보고있는 경우 od 또는 hd은 바이너리에서 엿보는 것이 좋으며 비어있는 긴 런을 보여주는 행복한 부작용이 있습니다.

그것이 재발하지 않는 한, 나는 그것을 훨씬 더 생각하지 않을 것입니다. 가장 유능한 침입자는 그보다 더 나은 일을 할 것입니다. 그 내용은 모든 것이 흥미롭지 않으며 거의 ​​의존하지 않습니다.

6
msw

이것을 유용하게 찾을 수있는 다른 사람들을 돕기 위해 ...

이 파일들을 검사하기 위해 last 외에 다른 프로그램이 있습니까?

예, utmpdump을 시도하십시오.

$ utmpdump /var/log/wtmp
7
Chucky