系统痕迹命令整理

系统中有一些重要的痕迹日志文件，如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件，这几个文件用vi打开是一些二进制乱码，因为这些日志文件中保存了重要的登陆痕迹，包括某个用户什么时候登陆了系统，什么时候退出了系统，错误登陆等重要系统信息这些信息要是通过vi可以编辑痕迹是不准确的，只能用对应的命令查看。

1、w命令

w命令是显示系统中正在登陆的用户信息的命令，这个命令查看的痕迹日志是/var/run/utmp。

[root@akun ~]# w
 07:35:24 up 1 min,  1 user,  load average: 0.11, 0.04, 0.01
 #系统时间 持续开机时间  当前登录用户 系统在1分钟，5分钟，15分钟前的平均负载
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.247.1    07:35    0.00s  0.18s  0.11s w

第一行信息中load average： 0.11, 0.04, 0.01表示系统在之前1分钟，5分钟，15分钟的平均负载，如果cpu是单核的，则这个数值超过1就是高负载，如果是四核的cpu，则这个数值超过4就是高负载。（这个平均负载完全是依据个人经验判断，一般认为不应该超过服务器cpu核数）

cpu使用率一般不超70%，内存使用率不超90%

第二行是表头

内容	说明
USER	当前登录的用户
TTY	登录的终端1
FROM	登录的ip地址，如果是本地终端，这是空的
LOGIN@	登录时间
IDLE	用户闲置时间
JCPU	所有进程占用的cpu时间
pcpu	当前进程占用的cpu时间
WHAT	用户正在进行的操作，显示-bash表示等待没有操作

2、who命令

who命令和w命令类似，用于查看正在登陆的用户，但是显示的内容更加简单，也是查看/var/run/utmp日志

[root@akun ~]# who
root     pts/0        2020-07-01 01:01 (192.168.247.1)
#用户名	 登陆终端	登陆时间（来源ip）

3、last命令

last命令是查看系统所有登陆过的用户信息，包括登陆的用户和之前登陆过的用户，这个命令查看的是/var/log/wtmp痕迹日志文件

[root@akun ~]# last
root     pts/0        192.168.247.1    Wed Jul  1 01:01   still logged in（表示现在登录还没推出）   
reboot   system boot  2.6.32-754.el6.x Wed Jul  1 00:51 - 01:07  (00:15) 
#系统重启记录   
root     pts/0        192.168.247.1    Tue Jun 30 07:35 - down   (00:51)    
reboot   system boot  2.6.32-754.el6.x Tue Jun 30 07:34 - 08:26  (00:52)    
sxk2     pts/1        192.168.247.1    Wed Jun 24 07:07 - 08:28  (01:21)    
root     pts/1        192.168.247.1    Wed Jun 24 00:44 - 07:05  (06:21)    
root     pts/1        192.168.247.1    Wed Jun 24 00:42 - 00:43  (00:00)    
#用户名	 终端号			来源ip			登陆时间  -	退出时间

4、lastlog命令

lastlog命令是查看系统中所有用户最后一次登录时间的命令，查看的是/var/log/lastlog文件

[root@akun ~]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/0    192.168.247.1    三 7月  1 01:01:12 +0800 2020
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
halt                                       **从未登录过**
···省略一些系统伪用户···(伪用户用于启动一些系统服务不能删除不能登录)
sxk2             pts/1    192.168.247.1    三 6月 24 07:07:03 +0800 2020
#用户名 			终端			来源IP			时间

5、lastb命令

lastb命令用于查看错误登陆系统的信息，查看的是/var/log/btmp痕迹日志

[root@akun ~]# lastb
sxk2     tty1                          Wed Jul  1 06:10 - 06:10  (00:00)    
root     tty1                          Wed Jul  1 06:10 - 06:10  (00:00)    
#错误登陆用户名    终端 					尝试登录时间
btmp begins Wed Jul  1 06:10:47 2020

注释

---

1. · 本地字符终端：有6个字符终端用tty1-tty6表示，使用alt+F1-6来切换
   · 本地图形终端：有1个图形终端用tty7表示，使用ctrl+F7(按住3秒，需要安装图形界面)
   · 远程终端：远程终端默认有256个 用pts/0-255表示 ↩︎