last | grep IPADDRESS
何行も表示されませんが、次のようになります。
lastlog | grep IPADDRESS
する。なぜ?
答え1
追加情報なしで話すのは難しいですが、さまざまなソースからデータを取得します。これが理由かもしれません。
last
ここで/var/log/wtmp
抽出されるのは、単純なユーザーログインではありません。実際、システム全体の状態に対するすべての変更がここに記録されます。だから当然有力候補です。logrotate
lastlog
抽出は/var/log/lastlog
以前のログインにのみ関連します。
ログイン後、ある時点でユーザーが循環する可能性があるため、表示/var/log/wtmp
されません。
確認するには、を実行できますlast | grep "wtmp begins"
。その日付が指定されたログイン日以降である場合、これが発生します。回転したコピーをlastlog
見つけて指定する必要があります。/var/log
wtmp
-f
last -f /var/log/wtmp.1 | grep IPADDRESS