目录
系统痕迹命令
- 系统中有一些重要的痕迹日志文件,如 /var/log/wtmp 、 /var/run/utmp 、 /var/log/btmp 、/var/log/lastlog 等日志文件,如果你用 vim 打开这些文件,你会发现这些文件是二进制乱码。
- 这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误登录等重要的系统信息。
- 这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志,只能通过对应的命令来进行查看。
w 命令
- w 命令是显示系统中正在登陆的用户信息的命令,这个命令查看的痕迹日志是/var/run/utmp。这个命令的基本信息如下:
- 命令名称:w
- 英文原意:Show who is logged on and what they are doing.
- 所在路径:/usr/bin/w
- 执行权限:所有用户。
- 功能描述:显示登录用户,和他正在做什么。
- 例如:
- 第一行信息,内容如下:
内 容 | 说 明 |
12:26:46 | 系统当前时间 |
up 1 day, 13:32 | 系统的运行时间,本机已经运行 1 天 13 小时 32 分钟 |
2 users | 当前登录了两个用户 |
load average: 0.00, 0.00, 0.00 | 系统在之前 1 分钟、5 分钟、15 分钟的平均负载。如果 CPU 是单核的,则这个数值超过 1 就是高负载;如果 CPU 是四核的,则这个数值超过 4 就是高负载(这个平均负载完全是依据个人经验来进行判断的,一般认为不应该超过服务器 CPU的核数) |
- 第二行信息,内容如下:
内 容 | 说 明 |
USER | 当前登陆的用户 |
TTY | 登陆的终端: tty1-6:本地字符终端(alt+F1-6 切换) |
FROM | 登陆的 IP 地址,如果是本地终端,则是空 |
LOGIN@ | 登陆时间 |
IDLE | 用户闲置时间 |
JCPU | 所有的进程占用的 CPU 时间 |
PCPU | 当前进程占用的 CPU 时间 |
WHAT | 用户正在进行的操作 |
who 命令
- who 命令和 w 命令类似,用于查看正在登陆的用户,但是显示的内容更加简单,也是查看/var/run/utmp 日志。
last 命令
- last 命令是查看系统所有登陆过的用户信息的,包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp 痕迹日志文件。
lastlog 命令
- lastlog 命令是查看系统中所有用户最后一次的登陆时间的命令,他查看的日志是/var/log/lastlog文件。
lastb 命令
- lastb 命令是查看错误登陆的信息的,查看的是/var/log/btmp 痕迹日志:
【注】:参考尚硅谷沈超老师教程