Wird Datum und/oder Uhrzeit auf einem System mit dem Kommando date(1) gesetzt, dann wird dies auch in /etc/utmp und /var/adm/wtmp festgehalten. Dabei werden immer 2 Datensätze geloggt. Der erste utmp-Eintrag verwendet den Typ 3 (OLD_TIME) und der zweite Eintrag den Typ 4 (NEW_TIME).
Zur Demonstration ändern wir die Zeit auf einem Test-System:
# date
Thu Jan 13 15:59:29 CET 2022
# date 01131558
Thu Jan 13 15:58:53 CET 2022
#
Die erzeugten Einträge sind:
# /usr/sbin/acct/fwtmp </etc/utmp |grep time
old time 3 0 0000 0000 1642085993 Thu Jan 13 15:59:53 2022
new time 4 0 0000 0000 1642085933 Thu Jan 13 15:58:53 2022
#
Die Uhrzeit wurde um 15:59:53 geändert (Typ 3 Eintrag „old time“) und wurde auf die neue Zeit 15:58:53 gesetzt (Typ 4 Eintrag „new time“).
Das lässt sich auch mit dem Kommando who(1) und der Option ‚-t‘ anzeigen:
# who -t
. old time Jan 13 15:59
. new time Jan 13 15:58
#
Wird die Zeit erneut geändert, werden die Typ 3 und 4 Einträge in /etc/utmp wiederverwendet. In /var/adm/wtmp werden hingegen zusätzliche Einträge hinzugefügt.