[問題] Ubuntu 使用者歷史跟syslog不符合

作者yongb (藍海悅)

看板Linux

標題[問題] Ubuntu 使用者歷史跟syslog不符合

時間Sun Dec 6 11:28:07 2015

小弟一直有開機後觀看使用者歷史的習慣（系統設定>使用者帳號>歷史（圖形介面的那個））但是今早起床看的時候我昨晚關機後居然沒有顯示結束階段反而是我今天早上開機才顯示結束階段這樣描述可能不太明了大概就是我昨晚23：58關機，然後今早7：29開機正常來說應該是要顯示 7:29 工作開始階段 23：58 工作結束階段 xx:xx 工作開始階段（我昨天開機時間）可是它卻顯示 7:29 工作結束階段 XX：XX 工作開始階段我昨天23：58關機的訊息居然沒出現（應該要有23:58 工作結束階段）也就是說我按下開機他卻是工作結束階段？？囧我該不會被黑了吧（應該不可能是我昨晚忘了關機，不然我按關機健他就不會開機惹） syslog卻沒有問題（不然就是我23:58~早上開機這中間的資訊被砍掉了？）下lastlog 全部都未登錄過 auth.log 也沒有出現我在23:58~7:29有登錄的資訊下last也是一樣沒有可疑的登入訊息請問各位大大我該重灌了嗎？還是自己嚇自己.... 還是我該貼哪裡的資訊讓各位前輩辨明問題呢順便問一下 Dec 6 11:45:30 ViewBook kernel: [12259.398729] [UFW BLOCK] IN=ppp0 OUT= MAC= SRC=49.146.163.152 DST=114.46.92.200 LEN=62 TOS=0x00 PREC=0x00 TTL=113 ID=60815 PROTO=UDP SPT=4565 DPT=6531 LEN=42 這段是甚麼意思呢有人P我但被防火牆擋下來的意思？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.46.92.200 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1449372491.A.5DA.html

→ lantw44: 圖形介面那個、lastlog、last 這三個的資料來源都不一樣 12/06 15:59

→ lantw44: 圖形界面的應該是去跟 AccountsService 拿資料 12/06 16:09

→ lantw44: 可以用這指令查 12/06 16:09

→ lantw44: gdbus call --system --dest=org.freedesktop.Accounts \ 12/06 16:10

→ lantw44: --object-path=/org/freedesktop/Accounts/User`id -u` \ 12/06 16:11

→ lantw44: --method=org.freedesktop.DBus.Properties.Get \ 12/06 16:11

→ lantw44: org.freedesktop.Accounts.User LoginHistory 12/06 16:11

→ lantw44: 檢查看看是不是有哪一項的數字變得很奇怪 12/06 16:16

感謝大大回覆，這是一行指令嗎另外那一段是甚麼意思阿？有非常多列......，IP來自有俄羅斯的埃及的印尼的菲律賓的中國的囧

推 Gold740716: 指令太長用反斜線*跳脫*換行符，換行到下一行繼續寫。 12/06 16:51

弄出來惹，這一大串數字是要怎麼看阿0.0\\\ 我愣了 (<[(int64 1449035144, int64 1449074224, {'type': <':0'>}), (1449072277, 1449074173, {'type': <'pts/13'>}), (1449101016, 1449101487, {'type': <':0'>}), (1449121613, 1449154955, {'type': <':0'>}), (1449121791, 1449128466, {'type': <'pts/8'>}), (1449130202, 1449130337, {'type': <'pts/1'>}), (1449132013, 1449132015, {'type': <'pts/1'>}), (1449132681, 1449136458, {'type': <'pts/1'>}), (1449143134, 1449149613, {'type': <'pts/8'>}), (1449205388, 1449228056, {'type': <':0'>}), (1449228260, 1449250677, {'type': <':0'>}), (1449281098, 1449358196, {'type': <':0'>}), (1449281601, 1449281740, {'type': <'pts/1'>}), (1449290523, 1449290773, {'type': <'pts/7'>}), (1449358528, 1449359106, {'type': <':0'>}), (1449359127, 1449359208, {'type': <':0'>}), (1449359221, 1449361245, {'type': <':0'>}), (1449359770, 1449359883, {'type': <'pts/8'>}), (1449360634, 1449360698, {'type': <'pts/8'>}), (1449360734, 1449361235, {'type': <'pts/8'>}), (1449361343, 1449375266, {'type': <':0'>}), (1449364755, 1449365074, {'type': <'pts/1'>}), (1449366445, 1449366522, {'type': <'pts/26'>}), (1449366555, 1449371622, {'type': <'pts/26'>}), (1449371717, 1449371759, {'type': <'pts/26'>}), (1449375282, 1449377331, {'type': <':0'>}), (1449377028, 1449377103, {'type': <'pts/14'>}), (1449380036, 1449382227, {'type': <':0'>}), (1449381064, 1449381502, {'type': <'pts/21'>}), (1449381849, 1449381887, {'type': <'pts/21'>}), (1449382246, 1449391511, {'type': <':0'>}), (1449391082, 1449391328, {'type': <'pts/20'>}), (1449392443, 0, {'type': <':0'>}), (1449393507, 0, {'type': <'pts/14'>})]>,)

→ lantw44: 這清單應該是登入時間登出時間從哪裡登入 12/06 18:12

我研究一下....謝謝大大

→ yongb: 這好像是格林威治時間？ 12/06 18:53

→ x000032001: 這是unixtime喔 12/06 19:23

剛用寫了幾行python 把時間丟進去發現昨天中午12點多然後直接跳到今天早上開機時間 1449290523, 1449290773, {'type': <'pts/7'>}), (1449358528, 1449359106, {'type': <':0'>}) 這條，5號中午12:46:13到6號早上7:35（我登入）中間沒有其他時間....附近的也沒有關機時間（咦這跟使用者歷史一樣阿）這樣算有問題嗎？是否GG了

→ lantw44: 所以是 syslog 有這段時間的資訊？ 12/06 22:14

→ lantw44: 有可能發生什麼事情讓檔案沒寫進去嗎？ 12/06 22:17

syslog 也沒有這段時間的資訊，沒有error錯誤訊息（還是有瞎咪魔鬼細節是我沒發現的 o_O 我自己在觀察幾天看看還會不會發生吧會的話就重灌了冏，反正基本上半年多重灌一次，時間也快到了感謝l大、x大、G大的關注以及回覆T^T

→ lantw44: 原本想說有沒有可能空間用完 12/06 23:46

log是有上限的嗎？ ※ 編輯: yongb (1.165.41.33), 12/07/2015 18:55:04

→ lantw44: 除非硬碟空間本來就快滿了，不然應該不太有機會 12/07 22:52

→ lantw44: 讓 log 寫不進去。純文字 log 通常都沒有上限吧。 12/07 22:53

那應該不是嚕，畢竟我還有幾百G..... 謝謝大大m（__）m ※ 編輯: yongb (114.46.94.120), 12/07/2015 22:59:35