wtmp

Este archivo es un fichero binario (no se puede leer su contenido directamente volcándolo con cat o similares) que almacena información relativa a cada conexión y desconexión al sistema. Podemos ver su contenido con órdenes como last:

anita:/# last -10
toni      pts/11       localhost        Mon Mar  6 11:07 - 11:07  (00:00)
toni      pts/11       rosita           Sun Mar  5 04:22 - 04:25  (00:03)
ftp       ftp          andercheran.aiin Sun Mar  5 02:30   still logged in
ftp       ftp          andercheran.aiin Sun Mar  5 00:28 - 02:30  (02:01)
ftp       ftp          anita            Thu Mar  2 03:02 - 00:28 (2+21:25)
ftp       ftp          anita            Thu Mar  2 03:01 - 03:02  (00:00)
ftp       ftp          localhost        Thu Mar  2 02:35 - 03:01  (00:26)
root      console                       Thu Mar  2 00:13   still logged in
reboot    system boot                   Thu Mar  2 00:12 
root      console                       Wed Mar  1 06:18 - down   (17:54)
anita:/#

Los registros guardados en este archivo (y también en el fichero utmp) tienen el formato de la estructura utmp, que contiene información como el nombre de usuario, la línea por la que accede, el lugar desde donde lo hace y la hora de acceso; se puede consultar la página de manual de funciones como getutent() para ver la estructura concreta en el clon de Unix en el que trabajemos. Algunas variantes de Unix (como Solaris o IRIX) utilizan un fichero wtmp extendido denominado wtmpx, con campos adicionales que proporcionan más información sobre cada conexión.