請各位教教我...『Linux 7.0』的 log file~

[Man]

事情是這樣的，我公司有兩台『Linux』server，一台是『7.0』、而另一台是『6.2』；而『7.0』那台是最近才正識作業的...
問題就出在這...
每當我會 login 至這兩台電腦任何一台時，我也會習慣性地用『last』、『who』等 command 查看知前有沒有別的使用芚n入﹙因為基本上是只有我才會有需要登入該兩台 server 的，而我上一任的同事便給我用『last』來揭發過他無固登入，結果我老闆給他作了個警告﹚，但之前我用『last』這個指令時，出現的永遠都是很多很長遍的 log，雖然都盡是我的 username，但奇怪的是我今天再查看時竟發現不見了...只有我昨天的兩次紀錄和今天的一次...之後我立即再到另外一台 server 堿搳A那部竟是什麼也沒有，一等登入的記錄也沒有﹙當然是不計我當時那筆﹚，但到底是為什麼呢？我查看書本，也沒有記載會過多久自動刪除那些 log files ，那麼會不會是有人進來搞東西後，到離開時刪除掉記錄檔...令我無重捉兇呢？若是，我可以怎樣做來被免他再進來呢？
希望各位高手指導指導！

[angus86]

我朋友說:
很明顯的~~你的server有可能被人入侵了
而且~~在/var/twmp的檔案可能都被清光啦

[Man]

最初由 angus86
我朋友說:
很明顯的~~你的server有可能被人入侵了
而且~~在/var/twmp的檔案可能都被清光啦

那麼我該怎辦呢？

[C.H.P]

先看看有沒有 Backup file (wtmp.gz)
<實際上Linux 一段時間是會自動備份的>

[Man]

最初由 C.H.P
先看看有沒有 Backup file (wtmp.gz)
<實際上Linux 一段時間是會自動備份的>

沒有啊！
只有一個叫做『wtmp.1』的，是這個嗎？
但是我輸入『more wtmp.1時，便出現亂碼了，
不只『wtmp.1』是這樣，就連『vtmp』也是這樣，
那麼這個『wtmp.1』究竟是不是便是備份呢？
我可以怎樣驗證呢？
希望能指教指教！

[C.H.P]

沒有啊！
只有一個叫做『wtmp.1』的，是這個嗎？
但是我輸入『more wtmp.1時，便出現亂碼了，
不只『wtmp.1』是這樣，就連『vtmp』也是這樣，
那麼這個『wtmp.1』究竟是不是便是備份呢？
我可以怎樣驗證呢？
希望能指教指教！
------------------------------------------------
對啦那就是備份檔， last -f wtmp.1 ( 注意下方開始的時間是...... )
------------------------------------------------

[Man]

最初由 C.H.P
沒有啊！
只有一個叫做『wtmp.1』的，是這個嗎？
但是我輸入『more wtmp.1時，便出現亂碼了，
不只『wtmp.1』是這樣，就連『vtmp』也是這樣，
那麼這個『wtmp.1』究竟是不是便是備份呢？
我可以怎樣驗證呢？
希望能指教指教！
------------------------------------------------
對啦那就是備份檔， last -f wtmp.1 ( 注意下方開始的時間是...... )
------------------------------------------------

嗯~我看到了...
的確是備份...
但是我要注意下方的什麼時間呢？

[C.H.P]

什麼時侯開始的，結束時間是否和現行的 wtmp 相結合。

[Man]

最初由 C.H.P
什麼時侯開始的，結束時間是否和現行的 wtmp 相結合。

嗯~我想大概都應該沒問題吧...
真的多謝你的指導呢！