Linux 查看用户日志方法

Linux 查看用户日志方法

0x01 登录日志

​ 经常使用 Linux 系统的开发者肯定会查询用户登录日志,查看用户登录日志有俩种日志记录用户登录的行为,分别为 记录登录者的数据 和 记录用户的登录时间,以下为几种 Linux 常用的用户登录日志查询方法。

1、lastlog 列出所有用户最后登录信息

lastlog 引用的是 /var/log/lastlog 中的内容,将显示登录名、端口号(tty)和上次登录时间,注意需要以root身份运行该命令。

命令参数:
-b<天数>:显示指定天数前的登录信息
-t<天数>:显示指定天数以来的登录信息
-u<用户名>:显示指定用户的最近登录信息

2、last 列出登录过系统的用户信息

last 可以查看登录到系统的用户信息,默认读取的是 /var/log/wtmp 文件信息,也可以通过 -f 参数读取指定文件。

echo > /var/log/wtmp
# 清空登录成功的信息

last 命令配合筛选命令使用最佳,也是强烈推荐的一种。

image-20220624141812875

3、lastb 列出登录失败的记录

lastb 命令与上面的 last 命令相似,列出的是登录失败用户的登录信息,默认读取 /var/log/btmp 文件信息,命令示例如下:

lastb |less
lastb |grep [筛选参数]
# 清空登录失败的日志
echo > /var/log/btmp

image-20220624141940897

参考:https://opssh.cn/daima/177.html

0x02 历史记录日志

1、查看历史记录

history

image-20220624214503452

2.删除指定行历史命令

history  -d 3

image-20220624214746194

和上图对比,第三行记录删除了

3.清空历史命令

history -c

image-20220624214943185

4.保存历史命令

每次我们退出当前用户,系统都会自动保存到当前目录下.bash_history文件中,我们也可以手动保存

命令

history -w

image-20220624215458959

5.查看其它用户历史记录

每个用户的家目录下都有一个 .bash_history 文件,里面记录了该用户的历史记录

image-20220624220001996

6. 删除一个范围的命令

删除从 986 行开始的 20个条目

for i in {1..20}; do history -d 202; done
set +o history   //设置命令不记录进history
set -o history  //设置命令记录进history
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: 要查看Linux用户登录日志,可以使用以下命令: 1. 查看所有用户登录日志: ``` sudo cat /var/log/auth.log ``` 2. 查看特定用户登录日志: ``` sudo cat /var/log/auth.log | grep username ``` 其中,username是你要查看用户名。 3. 查看最近的登录记录: ``` sudo last ``` 这个命令会列出所有用户的最近登录记录,包括登录时间、IP地址等信息。 希望这些命令能够帮助你查看Linux用户登录日志。 ### 回答2: 在Linux系统中,用户登录日志记录用户登录到系统的相关信息,包括用户名、登录时间、登录方式等。 1. 查看/var/log目录下的secure日志文件: $ cat /var/log/secure 该日志文件是只有root用户才有权限查看的,如果是普通用户,可以通过sudo命令来查看: $ sudo cat /var/log/secure 该命令可以查看到所有用户登录、注销和验证信息。 2. 使用last命令查看历史登录信息: $ last 该命令可以查看到所有用户的历史登录信息,包括登录时间、IP地址、登录类型等。 3. 查看wtmp日志文件: $ last -f /var/log/wtmp 该命令可以查看到所有用户登录、注销和系统重启等信息。 以上三种方式都可以查看Linux系统用户登录日志,可以根据需要进行选择,同时也可以根据日志信息来检查系统安全性。 ### 回答3: 在Linux系统中,登录日志常用来记录用户在系统中登录的信息,包括登录时间、登录IP、登录账户等。对于系统管理员来说,查看登录日志是非常重要的,因为它可以帮助他们监控系统的安全性,及时发现安全漏洞,并采取必要的措施保障系统的安全。 查看用户登录日志方法如下: 1. 使用命令last查看登录日志。在终端中输入last命令,会显示出所有系统用户登录记录,包括用户名、登录时间、IP地址等信息。这个文件通常保存在/var/log/wtmp目录下。 2. 查看/var/log/auth.log文件。此日志文件记录用户登录和认证信息,包括sulogin启动信息、系统认证信息、PAM认证信息等。可以使用cat、tail或grep等命令来查看日志。 3. 查看/var/log/secure 文件。此文件通常记录着ssh、su、sudo等安全信息,其中包含着很多关于用户登录记录。可以使用cat、tail或grep等命令来查看系统用户登录情况。 对于系统管理员来说,查看用户登录日志是非常重要的,因为它能够帮助管理员了解系统当前的安全状态,及时发现用户异常的操作行为和安全漏洞,并采取相应措施保护系统的安全。所以,系统管理员需要经常查看用户登录日志,确保系统安全可靠。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值