OSX Terminal "último" no muestra más inicios de sesión antes de hoy

En Mac OSX 10.12.1, usando Terminal

last

no muestra inicios de sesión antes de hoy? Leí el artículo anterior e intenté

sudo last

que no reveló nada antes.

De un ex respondedor que eliminó su comentario, parece que esto se debe a que los registros anteriores al día de hoy estaban comprimidos en .gz. ¿En realidad? ¿No hay una sola capacidad en línea para ver todos los inicios de sesión en el historial de una instancia de OS X?
¿ Cuáles son los resultados de- syslog -k Sender login?
Eliminé una respuesta que no era correcta. Según man wtmpmacOS 10.12.1, "Estos archivos ya no existen en 10.5 o posterior. /var/run/utmp, /var/log/wtmp, /var/log/lastlog".
El resultado del syslog confirma lo que dice Christopher:NOTE: Most system logs have moved to a new logging system. See log(1) for more information.

Respuestas (1)

lastfunciona en Sierra como en todos los sistemas OS X más antiguos equipados con ASL.

Aquí hay un ejemplo de Sierra VM ( primera luz: instalada: 20 de septiembre de 2016):

user  ttys001                       Fri Dec  9 02:31   still logged in
user  ttys000                       Fri Dec  9 02:30   still logged in
user  console                       Fri Dec  9 02:30   still logged in
...
reboot    ~                         Wed Sep 21 00:01 
user  console                       Tue Sep 20 22:18 - crash  (01:42)
reboot    ~                         Tue Sep 20 22:18 
user  ttys000                       Tue Sep 20 22:08 - crash  (00:09)
_mbsetupuser  console               Tue Sep 20 22:01 - crash  (00:17)
user  console                       Tue Sep 20 22:00 - crash  (00:17)
reboot    ~                         Tue Sep 20 21:59

Puede verificar cualquier mal comportamiento de last/ASL con Terminal.app:

Abra un nuevo shell e ingrese sudo opensnoop -n last, luego abra una pestaña con Te ingrese last.

En la primera pestaña deberías obtener algo como:

  UID    PID COMM          FD PATH                 
  501   7281 last           3 /dev/dtracehelper    
  501   7281 last           3 /var/log/asl         
  501   7281 last           4 /var/log/asl/2016.12.04.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.04.U0.asl 
  501   7281 last           5 /var/log/asl/2016.12.04.U501.asl 
  501   7281 last           6 /var/log/asl/2016.12.05.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.05.U0.asl 
  501   7281 last           7 /var/log/asl/2016.12.05.U501.asl 
  501   7281 last           8 /var/log/asl/2016.12.06.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.06.U0.asl 
  501   7281 last           9 /var/log/asl/2016.12.06.U501.asl 
  501   7281 last          10 /var/log/asl/2016.12.08.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.08.U0.asl 
  501   7281 last          11 /var/log/asl/2016.12.08.U501.asl 
  501   7281 last          12 /var/log/asl/2016.12.09.G80.asl 
  501   7281 last          -1 /var/log/asl/2016.12.09.U0.asl 
  501   7281 last          13 /var/log/asl/2016.12.09.U501.asl 
  501   7281 last          14 /var/log/asl/BB.2017.09.30.G80.asl 
  501   7281 last          15 /var/log/asl/BB.2017.10.30.G80.asl 
  501   7281 last          16 /var/log/asl/BB.2017.11.30.G80.asl 
  501   7281 last          17 /var/log/asl/BB.2017.12.31.G80.asl 
  501   7281 last          18 /var/log/asl/Logs    
  501   7281 last          18 /var/log/asl/StoreData 
  501   7281 last           3 /etc/localtime       
  501   7281 last           3 /usr/share/zoneinfo/UTC

que muestra todos los archivos abiertos/leídos por última vez . Salga de opensnoop ingresando: ^C.

Si no obtiene un resultado similar, verifique su subsistema ASL (por ejemplo, asl.conf o los demonios de lanzamiento com.apple.syslogd/com.apple.aslmanager)/la carpeta /var/log/asl y repare todo si es necesario.

Resultados del opensnoop10.12.1: dtrace: system integrity protection is on, some features will not be availabley 33 de estos: dtrace: error on enabled probe ID 5 (ID 188: syscall::open:return): invalid user access in action #11 at DIF offset 24. 33 corresponde a los archivos que se muestran en la respuesta. ¿Por qué ese mensaje? Resultados de last: buenos inicios de sesión desde septiembre de 2016. ¿Por qué no desde septiembre de 2015 cuando inicié sesión por primera vez (actualizaciones)? ¿Cómo encontramos inicios de sesión incorrectos?
@Christopher deshabilité SIP para obtener el resultado de opensnoop. En mi instalación física de Mavericks, solo obtengo los inicios de sesión, etc. del último año (2 de diciembre de 2015-9 de diciembre de 2016), aunque nunca reinstalé ni eliminé nada desde enero de 2014. Deberías convertir tus preguntas de comentarios en una o varias preguntas reales de ASE aquí... ;-)
Con respecto a _mbsetupuserver esta pregunta .
OSX Terminal "último" no muestra más inicios de sesión antes de hoy
RespuestasAquíPolítica de privacidad1y, 0v