Hola, > Tengo una peque�a duda, para ver los accesos de un > usuario a un sistema, ocupo el comando > > last -i usuario > > y me proporciona lo que espero, pero cuando abro el > archivo que usa last para generar el informe, veo solo > caracteres raros. > > Mi pregunta es, �como es el formato del archivo para > poderlo leer desde una aplicaci�n, o existe alguna > otra aplicaci�n que me permita manipular ese archivo, > digamos para generar reportes de accesos de los > usuarios al sistema, duraci�n de la conexi�n entre > otras cosas?
Que yo sepa no hay ninguna aplicaci�n para manipular el fichero, aunque s� que hay los llamados zappers para borrar un acceso ilegal, pero creo que lo que hacen el sobreescribir con ceros el fichero. El fichero en cuesti�n que utiliza last es "/var/log/wtmp" que es binario. La estructura de los datos se encuentra en utmp.h. $ man utmp As� que si tienes ganas y tiempo, ale, a programar... :-) Perm�teme que te haga un copy-paste de un documentillo que hice por ah�... :-) Saludos. -------- 1.1.1 wtmp Este archivo es un fichero binario, lo que significa que no se puede leer su contenido directamente volc�ndolo con la orden cat por ejemplo. Almacena informaci�n relativa a cada conexi�n y desconexi�n al sistema. Normalmente se ubica en /var/log o /var/adm. El contenido se puede visualizar con la orden last, de tal manera, que el �ltimo registro aparecer� en primer lugar. Adem�s, con el comando ac se pueden seleccionar el orden en el que se quiere que aparezcan los datos, por fecha, por usuario, etc. Tambi�n se puede determinar el tiempo que ha estado un usuario en el sistema. Los registros guardados en este archivo (y los de utmp) tienen el formato de la estructura utmp, que contiene informaci�n como el nombre de usuario, la l�nea por la que accede, el lugar desde donde lo hace y la hora de entrada y salida del sistema. Se puede consultar la p�gina de man relacionada para ver la estructura concreta del clon de Unix con el que se trabaje. Algunas versiones como Solaris o IRIX, utilizan un fichero wtmp extendido denominado wtmpx, con campos adicionales que proporcionan m�s informaci�n sobre la conexi�n. En este fichero guardan informaci�n distintos procesos de autentificaci�n como login, ftpd, etc., X-Windows cuando da acceso a un terminal y el proceso de reinicio/apagado del sistema. Cada vez que un usuario entra o sale del sistema, el fichero aumenta de tama�o. Si un intruso quiere borrar el registro, generalmente lo sobrescribir� con ceros, con lo que conviene vigilar el tama�o. Las copias de seguridad de este fichero son de gran importancia, sobretodo si tenemos en cuenta que tambi�n graba el cierre y la puesta en marcha del sistema. Este fichero es de gran importancia pues puede detectar si alguien ha utilizado la cuenta de un usuario para acceder al sistema. Esto es f�cil de detectar si el propietario de la cuenta tiene costumbre de acceder al sistema en horas espec�ficas, por el tiempo de estancia en el sistema o si la conexi�n se produce en horas en las que nunca se accede o, simplemente, el origen de la m�quina cliente es desconocido. 1.1.2 utmp El archivo utmp es tambi�n un fichero binario con la informaci�n de cada usuario que est� conectado en un momento dado en el sistema. As� pues, es un registro din�mico y no guarda informaci�n hist�rica. Utiliza la misma estructura de datos que wtmp. El programa login genera un registro en este fichero cuando un usuario se conecta al sistema e init lo elimina cuando desconecta. Normalmente se ubica en /var/log o en /var/adm aunque puede estar tambi�n en /etc. Para visualizar su contenido se puede utilizar last indic�ndole la ruta del archivo, w o who. Algunas versiones utilizan una versi�n extendida de utmp (xutmp) con campos adicionales. 1.1.3 lastlog El fichero lastlog es un fichero binario guardado generalmente en /var/log o /var/adm. Contiene un registro para cada usuario con la fecha y hora de su �ltima conexi�n. Se pueden visualizar sus datos con la orden lastlog y finger. Cuando un usuario se registra en el sistema, el programa de registro tratar� de identificarlo buscando su identificador en el fichero lastlog. Cuando lo encuentra, el programa muestra la �ltima entrada al sistema. Los usuarios del sistema pueden utilizar este m�todo para averiguar si alguien ha utilizado su cuenta. El programa login actualiza el registro renovando la informaci�n sobre el puerto a trav�s del cual accedi� al sistema y la hora en que tuvo lugar el acceso. 1.1.4 faillog Este fichero es equivalente a lastlog, pero el lugar de guardar informaci�n sobre la fecha y hora del �ltimo acceso al sistema, lo hace del �ltimo intento de acceso de cada usuario. Una conexi�n es fallida si alguien teclea incorrectamente su contrase�a. Esta informaci�n se muestra la siguiente vez que dicho usuario entra correctamente a la m�quina. 1.1.5 loginlog Si en algunas versiones de Unix como Solaris se crea el archivo /var/adm/loginlog (que originalmente no existe), se registrar�n en �l los intentos fallidos de login, siempre y cuando se produzcan m�s de cuatro seguidos. 1.1.6 btmp En algunos clones de Unix como Linux o HP-UX, el fichero btmp se utiliza para registrar las conexiones fallidas al sistema, con un formato similar al que utiliza wtmp para las conexiones exitosas. 1.1.7 sulog Este es un fichero de texto donde se registran las ejecuciones de la orden su, indicando fecha, hora, usuario que lanza el programa y usuario cuya identidad adopta, terminal asociado y �xito (+) o fracaso (-) de la operaci�n. Todo intento de acceder a la cuenta de root quedar� registrado aqu�, por lo que puede detectar intentos fallidos de convertirse en root. Adem�s, queda registrado el intercambio de identidades que existen entre usuarios, cosa que se debe vigilar porque la contrase�a de un usuario no la debe conocer nadie m�s que �l. Si hay un intercambio de identidad entre usuarios debemos sospechar que alg�n intruso ha conseguido varias contrase�as del sistema. _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
