Linux用户登录记录日志和相关查看命令

已于 2022-03-29 10:46:00 修改
阅读量1.9w 收藏 46
点赞数 2
分类专栏: Linux 文章标签: linux
于 2022-03-29 10:29:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NSD1907/article/details/123814564
版权

Linux用户登录记录日志和相关查看命令

Linux用户登录信息放在三个文件中:

1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间;

[root@root log]# cat /var/run/utmp
在这里插入图片描述

2  /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;

[root@root log]# last -n 5/var/log/wtmp
在这里插入图片描述

3  /var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。

[root@root log]# lastb -n 6/var/log/btmp
在这里插入图片描述

这三个文件都是二进制数据文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。

默认情况下文件的日志信息会通过logrotate日志管理工具定期清理。logrotate的配置文件是/etc/logrotate.conf,此处是logrotate的缺省设置,通常不需要对它进行修改。日志文件的轮循压缩等设置存放在独立的配置文件中,它(们)放在/etc/logrotate.d/目录下,它会覆盖缺省设置。

如果不想记录相关信息,则可以直接将相关文件删除即可。如果系统不存在该文件,则需要在此路径touch一个文件就可以继续记录相关信息了。

此外:

如果想禁用who命令,则只需要将utmp的可读权限去掉就行,这样非root用户就不能用此命令了;如果是btmp文件,手工创建的话注意权限必须为600,否则不能正确写入信息。

记录最后一次用户成功登陆的时间、登陆IP等信息
[pan@root ~]$ ==cat /var/log/lastlog ==
在这里插入图片描述
记录Linux操作系统常见的系统和服务错误信息
cat /var/log/messages
在这里插入图片描述
Linux系统安全日志,记录用户和工作组变化情况、用户登陆认证情况
[root@root log]# cat /var/log/secure
tail -f /var/log/secure 实时查看
在这里插入图片描述
记录系统登陆失败的用户、时间以及远程IP地址
[root@root log]# cat /var/log/btmp
在这里插入图片描述
暴力破解的人,不停的尝试各种用户名+各种密码,看来是有一个字典库了。
查看发起攻击的IP和攻击次数
Linux命令:cat /var/log/secure | awk ‘/Failed/{print $(NF-3)}’ | sort | uniq -c | awk ‘{print $2" = "$1;}’
数据:
在这里插入图片描述

文龙的_VLOG.
关注
专栏目录
linux取证——查看用户登录日志
记录并分享学习安全的知识点..
10-20 5437
Linux查看用户登录日志
linux查看日志命令wtmp,Linux 利用wtmp 日志记录并分析用户登陆统计
weixin_32075843的博客
05-01 2754
1.在linux /var/log/wtmp 日志中以二进制的形式记录了用户登陆的时间和登陆IP,用who 命令可以查看who /var/log/wtmpmtpt pts/0 2014-02-07 08:43 (192.168.0.5)yunji pts/0 2014-02-08 09:29 (192.168.0.8)langshi pts/1 ...
脚本生成所有登录用户的操作历史Linux 查看登录日志
的博客
10-02 1258
linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的I...
Linux 查看登录日志
xiedaimaihencai的博客
06-20 2271
Linux查看/var/log/wtmp文件查看可疑IP登陆该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录查看/var/log/secure文件寻找可疑IP登陆次数。
linux 日志大全
最新发布
jylee的博客
07-26 1071
一、filebeat 日志空格介绍在 filebeat 中,日志空格是指一个文本块中的空白字符。当 filebeat 读取日志文件时,会将日志文本分割成多个每行的文本块,然后解析每个文本块以提取重要信息。在默认情况下,filebeat 使用空格分割日志文本块。如果您的文本块中包含其他分隔符,您可以使用正则表达式或多个分隔符来定义您的分隔符。二、filebeat 设置日志空格在 filebeat 中设置日志空格非常简单。
Linux用户登录记录日志相关查看命令汇总
Poirot的博客
08-08 1902
出处http://www.cnblogs.com/lizhaoxian/p/5981029.html # 1 utmp、wtmp、btmp文件 Linux用户登录信息放在三个文件中: 1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; 2  /var/log/wtmp:记录当前正在登录和历
Linux - 查看用户登录记录
weixin_30477293的博客
05-11 2781
有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。 who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查...
linux 查看日志命令操作
10-30
以下是一些常用的Linux查看日志命令及其应用: 1. **`less` 和 `more` 命令** 这两个命令用于查看文件内容,特别是大型日志文件。`less` 提供了向前/向后翻页、搜索和导航功能,而 `more` 只能逐屏显示。 2. **`...
LinuxLinux 记录查看登录日和操作志|查看登录历史
小鱼菜鸟的博客
07-22 4381
目录 零、查看最近登录ip 以及历史命令执行日期 查看当前登录用户信息 一、查看日志文件 二、 脚本生成所有登录用户的操作历史 显示历史命令和时间history 零、查看最近登录ip 以及历史命令执行日期 [root@izbp~]# last [root@izbp~]# last -10 //表示只显示10行 [root@iz...
Linux基础知识(9): 用户登录查看命令
01-09
Linux操作系统中,掌握用户登录查看命令是管理员日常维护工作的重要部分。这些命令可以帮助我们了解系统的使用情况,监控安全,以及追踪用户活动。本文将详细介绍三个主要的命令:`w`,`who`,以及`last`。 1. ...
Linux 登录日志
lyp131422的博客
02-18 698
进入日志目录 [root@testpm ~]# cd /var/log/ 生成 [root@testpm log]# ls | grep secure secure 该日志的内容查看 [root@testpm log]# tail -f secure
linux记录用户登录操作日志.zip_linux查看登录用户
01-07
linux记录用户登录操作日志.日志分析 每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)
linux 查看登录日志
09-29 1038
查看/var/log/wtmp文件 执行命令: last -f /var/log/wtmp /var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息。 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,las...
LINUX查看用户登陆信息和日志
热门推荐
开始我的学习日志
08-30 1万+
<br />LINUX查看用户登陆信息和日志 <br />May 11, 2010 Posted by admin Comments (0)查看用户登陆信息: last[enter] (用户登录、退出系统的记录,系统重启、关机的记录。/var/log/wtmp )<br />      lastlog[enter]: 只是记录每个用户上次登录的时间,/var/log/lastlog<br />查看日历:cal[enter]<br />查看日期:date[enter]<br />Category: Post 
Linux 查看系统用户的登录日志
weixin_30383279的博客
02-23 205
查看用户登录系统的日志 有两类日志记录用户登录的行为,一是记录登录者的数据,一个是记录用户的登录时间 一,记录用户登录数据 /var/log/wtmp日志文件记录用户登录的数据。但这个文件是被编码的文件,不能直接用vi、cat等命令查看,可以用last命令读取。每一次登录就会产生一条记录,包括用户名、登录端、时间跨度等信息,如下: www.2cto.com ...
linux登录日志查看
wade1010的专栏
03-07 3292
语法:last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]这是一个功能很强大的命令查看ssh用户的登录日志命令:cd /var/log && more secure。1、linux登录日志记录在:/var/log目录里的 secure文件。上图中可以看到,用户在11:05:57和12:24:33进行了两次登录。例子:last -x :显示系统关闭、用户登录和退出的历史。
linux查看尝试登录日志,查看linux登录日志
weixin_39887715的博客
05-03 1513
查看linux登录日志1、lastlog列出所有用户最近登录的信息lastlog引用的是/var/log/lastlog文件中的信息,包括login-name、port、last login time2、last列出当前和曾经登入系统的用户信息,它默认读取的是/var/log/wtmp文件的信息。输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出...
Linux 查看登录日志登录失败用户的ip-lastb
weixin_34109408的博客
10-09 3183
Linux 查看登录成功的用户信息 命令: last 最新的登录记录在最前面,所以可以用 一下命令查看。 last | less 查看登录失败的用户信息 命令: lastb 查看登录日志 命令:  tail /var/log/secure...
linux查看用户登录日志
06-28
### 回答1: 要查看Linux用户登录日志,可以使用以下命令: 1. 查看所有用户的登录日志: ``` sudo cat /var/log/auth.log ``` 2. 查看特定用户的登录日志: ``` sudo cat /var/log/auth.log | grep username ``` 其中,username是你要查看的用户名。 3. 查看最近的登录记录: ``` sudo last ``` 这个命令会列出所有用户的最近登录记录,包括登录时间、IP地址等信息。 希望这些命令能够帮助你查看Linux用户登录日志。 ### 回答2: 在Linux系统中,用户登录日志记录用户登录到系统的相关信息,包括用户名、登录时间、登录方式等。 1. 查看/var/log目录下的secure日志文件: $ cat /var/log/secure 该日志文件是只有root用户才有权限查看的,如果是普通用户,可以通过sudo命令查看: $ sudo cat /var/log/secure 该命令可以查看到所有用户的登录、注销和验证信息。 2. 使用last命令查看历史登录信息: $ last 该命令可以查看到所有用户的历史登录信息,包括登录时间、IP地址、登录类型等。 3. 查看wtmp日志文件: $ last -f /var/log/wtmp 该命令可以查看到所有用户的登录、注销和系统重启等信息。 以上三种方式都可以查看Linux系统用户的登录日志,可以根据需要进行选择,同时也可以根据日志信息来检查系统安全性。 ### 回答3: 在Linux系统中,登录日志常用来记录用户在系统中登录的信息,包括登录时间、登录IP、登录账户等。对于系统管理员来说,查看登录日志是非常重要的,因为它可以帮助他们监控系统的安全性,及时发现安全漏洞,并采取必要的措施保障系统的安全。 查看用户登录日志的方法如下: 1. 使用命令last查看登录日志。在终端中输入last命令,会显示出所有系统用户的登录记录,包括用户名、登录时间、IP地址等信息。这个文件通常保存在/var/log/wtmp目录下。 2. 查看/var/log/auth.log文件。此日志文件记录着用户的登录和认证信息,包括sulogin启动信息、系统认证信息、PAM认证信息等。可以使用cat、tail或grep等命令查看日志。 3. 查看/var/log/secure 文件。此文件通常记录着ssh、su、sudo等安全信息,其中包含着很多关于用户登录记录。可以使用cat、tail或grep等命令查看系统用户的登录情况。 对于系统管理员来说,查看用户登录日志是非常重要的,因为它能够帮助管理员了解系统当前的安全状态,及时发现用户异常的操作行为和安全漏洞,并采取相应措施保护系统的安全。所以,系统管理员需要经常查看用户登录日志,确保系统安全可靠。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

文龙的_VLOG.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值