Web日志分析

一 、HTTP基础

1. HTTP报文格式解析

HTTP请求报文
HTTP请求包括3部分，分别是请求行、请求头和请求正文。

Windows NT 10.0表示操作系统内核版本号，Windows XP内核号是NT 5.1或NT 5.2（64位操作系统)，Windows Vista的内核版本号是NT 6.0，Windows 7的内核版本号是NT 6.1，Windows 8的内核版本号是NT 6.2，Windows 10的内核版本号是NT 10.0。
rv:98.0是Firefox浏览器的软件版本，Gecko/20100101是Firefox浏览器的内核版本。
HTTP响应报文
与HTTP请求对应的是HTTP响应，HTTP响应也由三部分组成，分别是响应行、响应头和响应正文。
HTTP /2表示HTTP 2版本；200表示HTTP状态码；OK表示对状态码的描述。

                                
Server：表示服务器的名称。
Date：表示消息发送的日期和时间。
Content-Type：表示返回的响应MIME类型与编码。
Access-Control-Allow-Headers：表示请求头中设置允许的请求方法。
Access-Control-Allow-Methods：明确了客户端所要访问的资源允许使用的方法或方法列表。
Access-Control-Allow-Credentials：响应报头指示的请求的响应是否可以暴露于该页面。
Access-Control-Max-Age：用来指定本次同源策略预检请求的有效期，单位为秒。
Content-Language：说明访问者希望采用的语言或语言组合。
Vary：表明在 content negotiation algorithm中选择一个资源代表的时候应该使用哪些头部信息。
Strict-Transport-Security：它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。

2. HTTP请求方法

HTTP请求方法
请求方法 说明

OPTIONS    用于请求获得由URL标识的资源,在请求响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求前,决定对该资源采取何种必要的措施,或者了解服务器的性能
GET    用于获取请求页面的指定消息(以实体的格式)。如果请求资源为动态脚本(除HTML),那么返回文本是Web容器解析后的HTML源代码,而不是源文件
POST    与GET方法相似,但最大的区别在于GET方法没有请求内容,而POST方法是有请求内容的。POST方法多用于向服务器发送大量的数据。GET方法虽然也能发送数据,但是有大小(长度)的限制,并且GET方法会将发送的数据显示在浏览器端,而POST方法则不会,所以安全性相对高一些。如上传文件、提交留言等,只要是向服务器传输大量的数据,通常会使用POST方法(登录也是POST方法)
HEAD    除服务器不能在响应里返回消息主体外,其他都与GET方法相同。它经常被用来测试超文本链接的有效性、可访问性和最近的改变。攻击者编写扫描工具时,就常用此方法,因为它只测试资源是否存在,而不用返回消息主题,所以处理的速度快
DELETE    用于请求源服务器删除请求的指定资源。服务器一般会关闭此方法,这是因为客户端可以进行删除文件的操作,属于危险方法
TRACE    被用于激发一个远程应用层的请求消息回路,即回显服务器收到的请求。它允许客户端了解数据被请求链的另一端接收的情况,并且利用这些数据信息进行测试或诊断,但此方法很少使用
PUT    用于将数据发送到服务器以创建或更新资源,可以用上传的内容替换目标资源中的所有当前内容。它将包含的元素放在所提供的URI(统一资源标识)下,如果URI指示的是当前资源,则会被改变;如果URI未指示当前资源,则服务器可以使用该URI创建资源。它属于危险方法,一旦开启,就会允许任意人员向服务器上传文件
CONNECT    用来建立给定URI的服务器隧道。它通过简单的TCP/IP隧道更改请求连接,通常使用解码的HTTP代理来进行SSL编码的通信(HTTPS)
其余HTTP请求方法
请求方法    说明
PATCH    HTTP的RFC2616原本定义用于上传数据的方法只有POST和PUT,但是考虑到两者的不足,就增加了 PATCH方法。它是对PUT方法的补充,用来对已知资源进行局部更新
MOVE    请求服务器将指定的页面移至另一个网络地址,它属于危险方法
COPY    请求服务器将指定的页面复制至另一个网络地址,它属于危险方法
LINK    请求服务器建立链接关系
UNLINK    断开链接关系
WRAPPED    允许客户端发送经过封装的请求
Extension-method    在不改动协议的前提下,可增加另外的方法

3. HTTP状态码

HTTP状态码是表示网页服务器超文本传输协议响应状态的3位数字代码。

HTTP状态码

状态码    类别    说明
1XX    消息    表示请求已被接受,需要继续处理。这类响应是临时响应,只包含状态行和某些可选的响应头信息,并以空行结束。由于HTTP/1.0中没有定义任何1XX状态码,所以除非在某些试验条件下,服务器禁止向此类客户端发送1XX响应
2XX    成功    表示请求已成功被服务器接收、理解并接受
3XX    重定向    表示需要客户端采取进一步的操作才能完成请求。通常这些状态码用来重定向,后续的请求地址(重定向目标)在本次响应的 Location域中指明
4XX    请求错误    表示客户端可能发生错误,妨碍了服务器进行处理
5XX    服务器错误    表示服务器在处理请求的过程中有错误或异常状态发生,也有可能是服务器意识到以当前的软/硬件资源无法完成对请求的处理
1XX 消息
100 Continue：客户端应当继续发送请求。这个临时响应是用来通知客户端其部分请求已经被服务器接收，且仍未被拒绝。客户端应当继续发送请求的剩余部分，或者如果请求已经完成，则忽略这个响应。服务器必须在请求完成后向客户端发送一个最终响应。
101 Switching Protocols：服务器已经理解了客户端的请求，并将通过Upgrade消息头通知客户端采用不同的协议来完成这个请求。在发送完这个响应最后的空行后，服务器将会切换到在Upgrade消息头中定义的那些协议。只有在切换新的协议更有利时才会采取类似措施，如切换新的HTTP版本比旧版本更有优势，或者切换一个实时且同步的协议以传送利用此类特性的资源。
102 Processing：由WebDAV(RFC 2518)扩展的状态码，代表该处理将被继续执行。

2XX 成功
200 OK：请求已成功，请求所希望的响应头或数据体将随此响应返回。出现此状态码表示状态正常。
201 Created：请求已经被实现，有一个新的资源已经依据请求的需要而建立，且其URI已经随Location头信息返回。如果需要的资源无法及时建立，则应返回“202 Accepted”。
202 Accepted：服务器已接受请求，但尚未处理。正如它可能被拒绝一样，最终该请求也可能不被执行。
203 Non-Authoritative Information：服务器已成功处理了请求，但返回的实体头部元信息不是原始服务器有效的确定集合，而是来自本地或第三方的复制。当前的信息可能是原始版本的子集或超集，如包含资源的元数据可能导致原始服务器知道元信息的超集。使用此状态码不是必需的，而且只有在响应不使用此状态码就会返回200 OK的情况下才适用。
204 No Content：服务器成功处理了请求，但不需要返回任何实体内容，并且希望返回更新的元信息。响应可能通过实体头部的形式，返回新的或更新后的元信息。如果存在这些头部信息，则应当与所请求的变量相呼应。
205 Reset Content：服务器成功处理了请求，且没有返回任何内容。但是与204响应不同，返回此状态码的响应要求请求者重置文档视图。该响应主要用于接收用户输入后就能立即重置表单，令用户能够轻松地开始另一次输入。
206 Partial Content：服务器已经成功处理了部分GET请求。FlashGet或迅雷的HTTP下载工具都使用此类响应实现断点续传，或者将一个大文档分解为多个下载段同时下载。
207 Multi-Status：由WebDAV(RFC 2518)扩展的状态码，代表此后的消息体将是个XML消息，并且可能依照之前子请求数量的不同，包含一系列独立的响应代码。

3XX 重定向
300 Multiple Choices：被请求的资源有一系列可供选择的回馈信息，每个都有自己特定的地址和浏览器驱动的商议信息。用户或浏览器能够自行选择一个首选的地址进行重定向。
301 Moved Permanently：被请求的资源已永久移动到新位置，并且将来任何对此资源的引用都应该使用本响应返回的若干个URI之一。如果可能，拥有链接编辑功能的客户端应当自动把请求的地址修改为从服务器反馈回来的地址。除非额外指定，否则这个响应也是可缓存的。
302 Move Temporarily：请求的资源临时从不同的URI进行响应请求。由于这样的重定向是临时的，所以客户端应当继续向原有地址发送以后的请求。只有在Cache-control或Expires中进行指定的情况下，这个响应才是可缓存的。
303 See Other：对应当前请求的响应可以在另一个URI上被找到，而且客户端应当采用GET方式访问那个资源。这个方法的存在主要是为了允许由脚本激活的POST请求输出重定向到一个新的资源。这个新的URI不是原始资源的替代引用。同时，303响应禁止被缓存。当然，第二个请求(重定向)可能被缓存。
304 Not Modified：如果客户端发送了一个带条件的GET请求且被允许，而文档的内容（自上次访问以来或根据请求的条件）并没有改变，则服务器应当返回这个状态码。304响应禁止包含消息体，故始终以消息头后的第一个空行结尾。
305 Use Proxy：被请求的资源必须通过指定的代理才能被访问。Location域中将给出指定代理所在的URI信息，接收者需要重复发送一个单独的请求，通过这个代理才能访问相应的资源。只有原始服务器才能建立305响应。
306 Switch Proxy：在最新版的规范中，306状态码已经不再被使用。
307 Temporary Redirect：请求的资源临时从不同的URI响应请求。

4XX 请求错误
400 Bad Request：①语义有误，当前请求无法被服务器理解。除非进行修改，否则客户端不应该重复提交这个请求：②请求参数有误。
401 Unauthorized：当前请求需要用户验证。该响应必须包含一个适用于被请求资源的WWW-Authenticate信息头用以询问用户信息。客户端可以重复提交一个包含恰当的Authorization头信息的请求。如果当前请求已经包含了Authorization证书，那么401响应代表服务器验证已经拒绝了这些证书。如果401响应包含了与前一个响应相同的身份验证询问，且浏览器已经至少尝试了一次验证，那么浏览器应当向用户展示响应中包含的实体信息，因为这个实体信息中可能包含了相关诊断信息。
402 Payment Required：该状态码是为可能的需求而预留的。
403 Forbidden：服务器已经理解请求，但拒绝执行。与401响应不同，身份验证并不能提供任何帮助，而且这个请求也不应该被重复提交。如果这不是一个HEAD请求，而且服务器希望能够讲清楚为何请求不能被执行，那么就应该在实体内描述拒绝的原因。当然如果它不希望让客户端获得任何信息，服务器也可以返回一个404响应。
404 Not Found：请求失败，请求所希望得到的资源未在服务器上被发现。没有信息能够告诉用户这个状况到底是暂时的还是永久的。如果服务器知道情况，就应当使用410状态码来告知旧资源因为某些内部的配置机制问题，已经永久不可用了，而且没有任何可以跳转的地址。404状态码被广泛应用于当服务器不想揭示到底为何请求被拒绝或没有其他适合的响应可用的情况下。出现这个错误的最大原因是服务器端没有这个页面。
405 Method Not Allowed：请求行中指定的请求方法不能被用于请求相应的资源。该响应必须返回一个Allow头信息用以表示当前资源能够接受请求方法的列表。鉴于PUT方法、DELETE方法会对服务器上的资源进行写操作，因而绝大部分的网页服务器都不支持或在默认配置下不允许使用上述的请求方法，对于此类请求方法均会返回405错误。
406 Not Acceptable：请求资源的内容特性无法满足请求头中的条件，因而无法生成响应实体。
407 Proxy Authentication Required：与401响应类似，只是客户端必须在代理服务器上进行身份验证。代理服务器必须返回一个Poxy-Authenticate用以进行身份询问。客户端可以返回一个Proxy–Authorization信息头用以验证。
408 Request Timeout：请求超时。客户端没有在服务器预备等待的时间内完成一个请求的发送。客户端可以随时再次提交这个请求而无须进行任何更改。
409 Conflict：由于和被请求资源的当前状态之间存在冲突，请求无法完成。这个代码只允许在这种的情况下才能被使用，即用户被认为能够解决冲突，并且会重新提交新的请求。该响应应当包含足够的信息以便用户发现冲突的源头。
410 Gone：被请求的资源在服务器上已经不再可用，而且没有任何已知的转发地址。这样的状况应当被认为是永久性的。如果可能，拥有链接编辑功能的客户端应当在获得用户许可后删除所有指向这个地址的引用。如果服务器不知道或无法确定这个状况是不是永久的，就应该使用404状态码。除非额外说明，否则这个响应是可缓存的。
411 Length Required：服务器拒绝在没有定义Content-Length头的情况下接受请求。在添加了表明请求消息体长度的有效Content-length头后，客户端可以再次提交该请求。
412 Precondition Failed：服务器验证在请求的头字段中给出先决条件时，没能满足其中的一个或多个。这个状态码允许客户端在获取资源时在请求的元信息(请求头字段数据)中设置先决条件，以避免该请求被应用到其希望的内容以外的资源上。
413 Request Entity Too Large：服务器拒绝处理当前请求，因为该请求提交的实体数据大小超过了服务器愿意或能够处理的范围。在此种情况下，服务器可以关闭连接以免客户端继续发送此请求。
414 Request-URI Too Long：请求的URI长度超过了服务器能够解释的长度，因此，服务器拒绝对该请求提供服务，这种情况比较少见。
415 Unsupported Media Type：对于当前请求的方法和所请求的资源，请求中提交的实体并不是服务器中所支持的格式，因此，请求被拒绝。
416 Requested Range Not Satisfiable：如果请求中包含了Range请求头，并且Range中指定的任何数据范围都与当前资源的可用范围不重合，同时请求中又没有定义IF-Range请求头，那么服务器就应当返回416状态码。
417 Expectation Failed：在请求头Expect中指定的预期内容无法被服务器满足，或者当这个服务器是一个代理服务器时，它可证明在当前路由的下一个节点上，Expect的内容无法被满足。
421 Too Many Connections：从当前客户端所在的IP地址查到服务器的连接数超过了服务器许可的最大范围。通常这里的IP地址指的是从服务器上看到的客户端地址(如用户的网关或代理服务器地址)，在这种情况下，连接数的计算可能涉及不止一个终端用户。
422 Unprocessable Entity：请求格式正确，但由于含有语义错误而无法响应。
423 Locked：当前资源被锁定。
424 Failed Dependency：由于之前的某个请求发生的错误导致当前请求失败，如PROPPATCH。
425 Too Early：表示服务器不愿意冒风险来处理该请求，因为处理该请求可能会被“重放”，从而造成潜在的重放攻击。
426 Upgrade Required：客户端应当切换到TLS/1.0。
449 Retry With：表示请求应当在执行完适当的操作后进行重试。
451 Unavailable For Legal Reasons：表示该请求因法律原因不可用。

5XX 服务器错误
500 Internal Server Error：服务器遇到了一个未曾预料的状况，导致无法完成对请求的处理。一般来说，这个问题会在服务器端的源代码出现错误时出现。
501 Not Implemented：当服务器无法识别请求的方法，并且无法支持其对任何资源的请求时，服务器不支持当前请求所需要的某个功能。

502 Bad Gateway：作为网关或代理工作的服务器尝试执行请求时，从上游服务器接收到无效的响应。

503 Service Unavailable：由于临时的服务器维护或过载，服务器当前无法处理请求这个状况是临时的，并且将在一段时间后恢复。如果能够预计延迟时间，那么响应中可以包含一个Retry-After头用以标明这个延迟时间。如果没有给出这个Retry-After信息，那么客户端应当以处理500响应的方式进行处理。
504 Gateway Timeout：作为网关或代理工作的服务器尝试执行请求时，未能及时从上游服务器(URI标识出的服务器，如HTTP、FTP、LDAP)或辅助服务器(如DNS)得到响应。
505 HTTP Version Not Supported：服务器不支持，或者拒绝支持在请求中使用的HTTP版本。这表示服务器不能或不愿意使用与客户端相同的版本。响应中应当包含一个描述了版本不被支持的原因，以及服务器支持哪些协议的实体。
506 Variant Also Negotiates：由《透明内容协商协议》(RFC 2295)扩展，代表服务器存在内部配置错误，即被请求的协商变元资源被配置在透明内容协商中使用，因此它在协商处理中不是一个合适的重点。

507 Insufficient Storage：服务器无法存储完成请求所必需的内容。这个状况被认为是临时的。

509 Bandwidth Limit Exceeded：服务器达到带宽限制。虽然这不是一个官方的状态码，但仍被广泛使用。
510 Not Extended：获取资源所需要的策略，但没有被满足。
600 Unparseable Response Headers：源站没有返回响应头部，只返回实体内容。它是个特殊的服务器错误状态码。

二 、Web日志格式解析

Web日志会记录用户对Web页面的访问操作行为；由于POST提交的数据过于庞大，中间件都默认不记录POST的详细数据，需要进行额外的配置来开启。

1. IIS中间件日志

IIS（Internet information services，互联网信息服务）是微软公司提供的、运行在Windows系统下的中间件。它主要用来解析.ASP、.ASA、.CER这三种文件格式的文件，也可以结合环境资源包解析PHP等。常见的IIS版本包括IIS 6.0/7.0/7.5/8.0/8.5。

IIS日志存放位置

不同的IIS日志默认目录不一样，可以自定义。IIS日志文件格式位“ex+年份的末两位数字+月份+日期”，后缀为.log，默认为按天数生成。

IIS每条日志的格式由data、time、c-ip、cs-method、cs-uri-stem、s-port、s-ip、cs(User-Agent)、sc-status、sc-bytes、cs-bytes组成。

date：发出请求时的日期。
time：发出请求时的时间。
c-ip：客户端IP地址。
cs-method：请求中使用的HTTP方法。
cs-uri-stem：URI资源，记录作为操作目标的统一资源标识符，即访问的页面文件。
s-port：为服务配置的服务器端口号。
s-ip：服务器的IP地址。
cs(User- Agent)：用户代理，包括客户端浏览器、操作系统等情况。
sc-status：协议状态，记录HTTP状态代码。
sc-bytes：服务器发送的字节数。
cs-bytes：服务器接收的字节数。

2. Apache中间件日志

Apache的配置文件"httpd.conf"中存在着两个日志文件，access.log为访问日志，error.log为错误日志。一般日志文件是在Apache安装目录的logs子目录中。

3. Nginx中间件日志

Nginx中间件日志分为两种，access.log为访问日志，error.log为错误日志。默认日志会放在Nginx安装路径的logs目录中。如果通过yum源安装Nginx，那么access.log的默认路径为“var/log/nginx/access.log”。

4. Tomcat中间件日志

Tomcat对应日志位于Tomcat目录下的“/conf/logging.properties”。
Tomcat默认有四种日志，catalina、localhost、manager、host-manager。

5. Weblogic

Weblogic包含三种日志，server.log（该日志记录的是服务（包括admin server 和 app server）启动过程中和关闭过程中的日志），access.log（该文件记录了在某个时间段，某个ip地址上的客户端访问了服务器上的哪个文件），domain.log（记录了一个domain的运行情况）。

Weblogic8.x：

access.log在“$MV_HOME/user_projects/domains/<domain_name>/server_name/server.log”

server.log在“$MV_HOME/user_projects/domains/<domain_name>/<server_name>/<server_name>.log”

domain.log在“$MV_HOME/user_projects/domains/<domain_name>/<domain_name>.log”

Weblogic9.x：

access.log在“$MV_HOME/user_projects/domains/<domain_name>/servers/<server_name>/logs/access.log”

server.log在“$MV_HOME/user_projects/domains/<domain_name>/servers/<server_name>/logs/<server_name>.log”

domain.log在“$MV_HOME/user_projects/domains/<domain_name>/servers/<adminserver_name>/logs/<domain_name>.log”

三. 操作系统日志分析

1. Windows日志概述

Windows日志记录着Windows系统中硬件、软件和系统问题的信息。Windows日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素：日期/时间、事件级别、用户、计算机、事件ID、来源、任务类别、描述和数据信息。所有事件只能拥有其中的一个事件级别，具体如下。

信息事件：指应用程序、驱动程序或服务的成功操作事件。

警告事件：指不是直接的、主要的，但会导致将来问题发生的事件。如当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

错误事件：指用户应该知道的重要问题，通常是功能和数据的丢失。如一个服务不能作为系统引导被加载，就会产生一个错误事件。

成功审核( Success audit)：表示成功的审核安全访问尝试，主要是指安全性日志，包括用户的登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，其中所有成功登录的系统都会被记录为“成功审核”事件。

失败审核( Failure audit)：表示失败的审核安全登录尝试，如用户试图访问网络驱动器失败,该尝试就会被作为失败审核事件记录下来。

Windows NT/Win2000/XP/Server 2003中，扩展名为“evt”，日志位置为“%systemroot%\System32\config”。

Wista/Server 2008开始，扩展名为“evtx(XML格式)”，日志位置为“%systemroot%\System32\WinEvt\logs”。

日志文件通常分为系统日志（SysEvent）、应用程序日志（AppEvent）和安全日志（SecEvent）。

系统日志：记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃及数据。

应用程序日志：包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。

安全日志：记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件。

2. Windows日志事件解析

常见事件ID说明

事件ID    说明
4624    登陆成功
4625    登陆失败
4634    注销成功
4647    用户启动的注销
4672    使用管理员登陆
4720    创建用户
登陆类型
登陆类型    描述    说明
2    交互式登录    用户在本地登录
3    网络    最常见的情况是连接到共享文件夹或共享打印机
4    批处理    通常表明某计划任务启动
5    服务    每种服务都被配置在某个特定的用户账号下运行
7    解锁    屏保解锁
8    网络明文    登陆的密码在网络上是通过明文传输的，如FTP
9    新凭证    使用带/Netonly参数的RUNAS命令运行一个程序
10    远程交互    通过终端服务、远程桌面或远程协助访问计算机
11    缓存交互    以一个域用户登录而又没有域控制器可用

3. Linux日志概述

大部分Linux默认的日志守护进程为syslog，位于“/etc/syslog”或“/etc/syslogd”，默认配置文件为“/etc/syslog.conf”，默认配置下，日志文件通常保存在“/var/log”目录下。

日志优先级

级别    英文单词    中文释义    说明
0    EMERG    紧急    导致主机系统不可用
1    ALERT    警告    必须马上采取措施解决问题
2    CRIT    严重    比较严重的情况
3    ERR    错误    运行出现错误
4    WARNING    提醒    可能影响系统功能，是需要提醒用户的重要事件
5    NOTICE    注意    不会影响正常功能，但是需要注意的事件
6    INFO    信息    一般信息
7    DEBUG    调试    程序或系统的调试信息等

日志文件说明
日志文件 说明

/var/log/cron    记录系统定时更换任务的相关日志
/var/log/cups    记录打信息的日志
/var/log/dmesg    记录系统在开机时内核自检的信息，也可以使用dmesg命令直接查看
/var/log/mailog    记录邮件信息
/var/log/message    记录Linux系统中绝大多数的重要信息，在系统出现问题时，首要检查这个日志文件
/var/log/btmp    记录错误登录日志。这个文件是二进制的，不能直接使用vi查看，而要使用lastb命令
/var/log/lastlog    记录系统中所有用户最后一次登陆时间的日志。这个文件是二进制的，不能直接使用vi查看，而要使用lastlog命令
/var/log/wtmp    永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。这个文件是二进制的，不能直接使用vi查看，而要使用last命令
/var/log/utmp    记录当前已经登录的用户信息，会随着用户的登录和注销不断变化，只记录当前登录用户的信息。这个文件是二进制的，不能直接使用vi查看，而要使用w、who、users命令
/var/log/secure    记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，如SSH登录、su切换用户、sudo授权，以及添加用户和修改用户密码都会记录在这个日志文件中

4. Linux日志文件解析

重点日志文件“/var/log/btmp”、“/var/log/lastlog”、“/var/log/wtmp”、“/var/log/btmp”、“/var/log/secure”以及软件安装日志。

“/var/log/btmp”
使用w、who、users命令进行查看。


w：查询utmp文件，并显示当前系统中每个用户和它所运行的进程信息。
who：查询utmp文件，并报告当前登录的每个用户。Who命令的默认输出包括用户名、终端类型、登录日期及远程主机。
users：用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，其用户名将显示相同的次数。
“/var/log/lastlog”
显示最后一次登陆成功的用户，使用lastlog命令查看。

“/var/log/wtmp”
永久记录每个用户登录、注销以及系统启动、停机的事件。使用命令last查看。

“/var/log/btmp”
记录Linux登陆失败用户、时间以及远程IP地址。使用命令lastb查看。

“/var/log/secure”
记录用户登录认证的相关日志，包括修改用户名密码等。

软件安装日志
“/var/log/yum.log"或”/var/log/yum.log-时间"中会显示yum安装的日志。