Wird Datum und/oder Uhrzeit auf einem System mit dem Kommando date(1) gesetzt, dann wird dies auch in /etc/utmp und /var/adm/wtmp festgehalten. Dabei werden immer 2 Datensätze geloggt. Der erste utmp-Eintrag verwendet den Typ 3 (OLD_TIME) und der zweite Eintrag den Typ 4 (NEW_TIME).

Zur Demonstration ändern wir die Zeit auf einem Test-System:

# date
Thu Jan 13 15:59:29 CET 2022
# date 01131558
Thu Jan 13 15:58:53 CET 2022
# 

Die erzeugten Einträge sind:

# /usr/sbin/acct/fwtmp </etc/utmp |grep time
                        old time      3     0 0000 0000 1642085993                                  Thu Jan 13 15:59:53 2022
                        new time      4     0 0000 0000 1642085933                                  Thu Jan 13 15:58:53 2022
# 

Die Uhrzeit wurde um 15:59:53 geändert (Typ 3 Eintrag „old time“) und wurde auf die neue Zeit 15:58:53 gesetzt (Typ 4 Eintrag „new time“).

Das lässt sich auch mit dem Kommando who(1) und der Option ‚-t‘ anzeigen:

# who -t
   .        old time    Jan 13 15:59                    
   .        new time    Jan 13 15:58                    
# 

Wird die Zeit erneut geändert, werden die Typ 3 und 4 Einträge in /etc/utmp wiederverwendet. In /var/adm/wtmp werden hingegen zusätzliche Einträge hinzugefügt.