Benutzer-Logins unter AIX werden in den Dateien /etc/utmp und /var/adm/wtmp festgehalten. Fehlerhafte Login-Versuche zusätzlich in der Datei /etc/security/failedlogin. Diese Dateien verwenden allerdings kein ASCII-Format, sondern speichern die Daten in binärer Form ab. Jeder Eintrag in diesen Dateien ist eine utmp Struktur (definiert in /usr/include/utmp.h). Der Inhalt der Dateien kann daher auch nicht einfach mit einem Editor oder dem cat(1)-Kommando angezeigt werden.
Die Einträge in diese Log-Dateien werden von Programmen wie init(1), getty(1), login(1) oder sshd(8) vorgenommen. Einträge für gegenwärtig eingeloggte Benutzer sind in /etc/utmp (und /var/adm/wtmp) zu finden.
Es gibt eine Reihe von Kommandos, die Informationen aus diesen Log-Dateien anzeigen, wie z.B.:
finger(1) oder f(1): Anzeigen von Benutzer-Informationen
last(1): Anzeigen der letzten Logins
who(1): Anzeigen der aktuell eingeloggten Benutzer
…
Einige dieser Kommandos erlauben es eine Datei im utmp-Format anzugeben. Das Kommando verwendet dann die angegebene Datei anstelle der vorgesehenen Default-Datei, häufig /etc/utmp.
Zusätzlich zu Benutzer-Logins werden einige weitere Ereignisse in den Log-Dateien /etc/utmp und /var/adm/wtmp festgehalten:
Starten von Prozessen durch init(1).
Ändern der Zeit oder des Datums mit dem Kommando date(1).