我昨天有一個測試。一個問題是

選擇一個關於日誌文件的錯誤。

1. utmp包含目前登錄系統的使用者的登錄和註銷資訊
2. loginlog 記錄成功的登錄嘗試

我知道答案是 2。但是 utmp 是否包含註銷資訊？我認為1也是錯誤的。wtmp 包含登錄和註銷資訊。如果 1 也是我認為的正確答案，我對導師的意見有什麼支持？

man 5 utmp給出了很好的答案：

utmp文件允許人們發現有關誰目前正在使用系統的資訊。

wtmp文件記錄所有登錄和註銷。

是的，它包含註銷資訊。

當互動式 TUI 登錄會話結束時，DEAD_PROCESS會在該表中輸入一條記錄，替換之前的記錄USER_PROCESS。這個記錄不會長久（至少在某些系統上），因為終端登錄服務管理很快會回收登錄服務，DEAD_PROCESS用新的GETTY_PROCESS或LOGIN_PROCESS一個覆蓋記錄。但它可以在那裡找到。

在其他系統上，沒有諸如GETTY_PROCESS或LOGIN_PROCESS記錄之類的東西，它的壽命會更長一些，並且更容易遇到。但是，很難看到以程式方式訪問表格，因為實用程序通常會DEAD_PROCESS在列印表格內容時過濾掉條目。

此外：由於錯誤，您將DEAD_PROCESS在此表中無限制地累積來自某些現代桌面環境的 GUI 登錄會話記錄。

進一步閱讀

• 喬納森·德博因·波拉德 (2018)。Unix 登錄數據庫。經常給出答案。
• pututxline. 基本規格。IEEE 1003.1:2017。公開組。

引用自：https://unix.stackexchange.com/questions/436354