Benutzer-Logins unter AIX werden in den Dateien /etc/utmp und /var/adm/wtmp festgehalten. Fehlerhafte Login-Versuche zusätzlich in der Datei /etc/security/failedlogin. Diese Dateien verwenden allerdings kein ASCII-Format, sondern speichern die Daten in binärer Form ab. Jeder Eintrag in diesen Dateien ist eine utmp Struktur (definiert in /usr/include/utmp.h). Der Inhalt der Dateien kann daher auch nicht einfach mit einem Editor oder dem cat(1)-Kommando angezeigt werden.

Die Einträge in diese Log-Dateien werden von Programmen wie init(1), getty(1), login(1) oder sshd(8) vorgenommen. Einträge für gegenwärtig eingeloggte Benutzer sind in /etc/utmp (und /var/adm/wtmp) zu finden.

Es gibt eine Reihe von Kommandos, die Informationen aus diesen Log-Dateien anzeigen, wie z.B.:

• • finger(1) oder f(1): Anzeigen von Benutzer-Informationen
  • last(1): Anzeigen der letzten Logins
  • who(1): Anzeigen der aktuell eingeloggten Benutzer
  • …

Einige dieser Kommandos erlauben es eine Datei im utmp-Format anzugeben. Das Kommando verwendet dann die angegebene Datei anstelle der vorgesehenen Default-Datei, häufig /etc/utmp.

Zusätzlich zu Benutzer-Logins werden einige weitere Ereignisse in den Log-Dateien /etc/utmp und /var/adm/wtmp festgehalten:

• • Starten von Prozessen durch init(1).
  • Ändern der Zeit oder des Datums mit dem Kommando date(1).
  • Herunterfahren oder Rebooten des Systems.
  • Ändern der Zeit durch den timed(1).