Пытаемся просмотреть некоторые из наших старых файлов журналов и обнаружить, что это загадочные «исполняемые файлы Unix». Этот конкретный сервер, с которым я работаю, - это более старый сервер Mac OS X (10.4 - Tiger).
-rw-r----- 1 root admin 36 1 Jun 15:48 wtmp
-rw-r--r-- 1 root admin 578 27 May 17:40 wtmp.0.gz
-rw-r----- 1 root admin 89 26 Apr 13:57 wtmp.1.gz
-rw-r----- 1 root admin 78 29 Mar 16:43 wtmp.2.gz
-rw-r----- 1 root admin 69 15 Feb 17:21 wtmp.3.gz
-rw-r----- 1 root admin 137 16 Jan 13:09 wtmp.4.gz
Я использую zless, чтобы попытаться просмотреть содержимое файлов .gz. и то, что я вижу, нечитаемо:
...
<DF>^R<AF>ttyp1^@^@^@joe54^@^@^@^@^@108.184.63.22^@^@^@^@K<DF>"<B8>ttyp1^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@K<DF>%<A1>console^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@K<E0>1 ~^@^@^@^@^@^@^@shutdown^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@K<E0>1^L~^@^@^@^@^@^@^@reboot^@^@^@^@^@^@
...
то же самое касается system.log.0.gz и т.д ... всего, что было свернуто в сжатых файлах .gz. Что мне не хватает?
Wtmp и utmp файлы двоичные данные - не текст. Использовать last для просмотра информации в них.
Из man utmp:
Файл представляет собой последовательность структур utmp, объявленных следующим образом (обратите внимание, что это только одно из нескольких определений; детали зависят от версии libc):
бла, бла ... #defines и struct foo и struct bar ...
Просто запустите: gunzip system.log.0.gz
После этого вы должны увидеть файл system.log.0 в своем каталоге. Команда gunzip, как следует из названия, распаковывает файлы .gz.
Обратите внимание, что в будущем вы, скорее всего, столкнетесь с файлами .tar.gz. Их можно извлечь по-разному, используя tar -xf $FILE (замените $ FILE своим файлом).