Linux日志-wtmp日志

已于 2024-09-03 21:28:32 修改
阅读量1k 收藏 8
点赞数 29
分类专栏: Linux进阶 # Linux日志 文章标签: linux 运维 服务器
于 2024-09-03 21:27:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dessler/article/details/141872266
版权

作者介绍:简历上没有一个精通的运维工程师。希望大家多多关注作者,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

Linux 系统中的日志是记录系统活动和事件的重要工具,它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志,登录日志,定时任务日志,监控日志,崩溃日志,二进制日志等内容,这些日志都存储在/var/log目录下,有的日志文本格式,可以直接使用前面学到的tail cat 等命令分析,有的日志是二进制格式需要专门的命令才能解释,比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。

1.Linux日志-message日志

2.Linux日志-secure日志

3.Linux日志-btmp日志

4.Linux日志-wtmp日志(本章节)

5.Linux日志-lastlog日志

6.Linux日志-cron日志

7.Linux日志-sar日志

8.Linux日志-journal日志

9.Linux日志-dmesg日志

10.Linux日志-kdump日志

11.Linux日志-日志小结

上一小节,我们讲Linux的btmp日志,下面我们接着讲Linux的其他日志内容。

在Linux系统中,wtmp 日志是系统日志的一部分,它主要用于记录系统的登录和注销等相关信息。这个刚好和btmp相对应,一个记录失败,一个记录成功。

  1. 记录登录和注销时间:它准确地记录了用户登录到系统的时间以及注销的时间。这对于跟踪用户的活动时间以及系统的使用情况非常重要。例如,管理员可以通过查看 wtmp 日志来确定某个用户在特定时间段内的登录时长,从而了解用户对系统资源的使用情况。

  2. 记录用户身份信息:wtmp 日志会记录登录用户的用户名等身份信息。这有助于管理员识别哪些用户在何时访问了系统。在多用户环境中,如果出现了系统问题或安全事件,通过查看 wtmp 日志可以快速确定当时登录的用户,以便进一步调查相关情况。

  3. 记录登录终端和来源信息:它还可能记录用户登录的终端设备(如本地终端、远程登录的终端类型等)以及登录的来源 IP 地址(如果是远程登录)。这对于了解用户的登录方式和位置很有帮助。例如,如果发现某个用户经常从不同的 IP 地址登录,可能需要进一步核实该用户的身份和活动是否正常。

日志基本信息

  • 日志路径:/var/log/wtmp

  • 日志格式:  二进制格式

  • 查看方法:使用专用命令last

[root@iZ2vci40gfjzarlead7vliZ log]# last
root     pts/0        182.151.182.92   Wed Aug  7 23:14   still logged in   
root     pts/1        221.237.228.168  Tue Aug  6 15:01 - 17:31  (02:30)       
root     pts/0        221.237.228.168  Thu Jul 18 15:43 - 17:31  (01:47)    
reboot   system boot  3.10.0-1127.19.1 Thu Jul 18 23:43 - 23:29 (19+23:46)  
root     pts/0        221.237.228.168  Thu Jul 18 15:41 - down   (00:00)    
root     pts/0        221.237.228.168  Tue Jul 16 12:46 - 15:57  (03:10)

图片

   

总结

1.该日志主要记录成功的日志,如果服务器运行的时间越长,他记录的信息越多。

2.当日常运维中需要查询某个命令是谁执行的就可以通过history和该记录进行综合分析。

3.该日志记录的用户,来源ip,登录时间,登出时间。

关注微信公众号《运维小路》获取更多内容。

dessler
关注
专栏目录
Linux日志文件secure、wtmp、utmp、lastlog、messages
SHELLCODE_8BIT的博客
07-10 4274
1.secure日志/var/log/secure日志用来记录登录成功和失败2.wtmp日志/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看3.utmp日志/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件4.lastlog日志/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息...
Linux日志-secure日志
最新发布
09-01 1322
Linux系统中,secure 日志是系统日志的一部分,主要用于记录与系统安全相关的活动和事件。
linux服务器wtmp察看,Linux操作系统服务器日志管理详解
weixin_35342955的博客
05-10 1941
日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。在Linux系统中,有三个主要的日志子系统:连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,...
Linux日志文件utmp、wtmp、lastlog、messages
点滴记忆成长瞬间
05-07 2903
     1、有关当前登录用户的信息记录在文件utmp中;======who命令  2、登录进入和退出纪录在文件wtmp中;========w命令  3、最后一次登录文件可以用lastlog命令察看;  4、messages======从syslog中记录信息  注意:wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户
linux查看日志命令wtmp,Linux 利用wtmp 日志记录并分析用户登陆统计
weixin_32075843的博客
05-01 2764
1.在linux /var/log/wtmp 日志中以二进制的形式记录了用户登陆的时间和登陆IP,用who 命令可以查看who /var/log/wtmpmtpt pts/0 2014-02-07 08:43 (192.168.0.5)yunji pts/0 2014-02-08 09:29 (192.168.0.8)langshi pts/1 ...
wtmp日志读取
禹鼎侯的博客
06-16 2862
之前遇到一个AIX服务器登录不上,但是能ping通的事情。一开始我怀疑是sshd服务坏掉了,但是使用telnet也无法登录。好在这台机器所在的机房就在我隔壁,于是外接显示器,直接上机操作。好在直接通过物理介质还是能登录得上去的。上去一看,好家伙,直接提示根目录磁盘不足了。于是就查跟目录下都有哪些东西占用了比较大的空间。不看不知道,一看吓一跳,根目录下一共3.2G/var/log下一个wtmp文件就占了2.8G。那么这个wtmp是啥?能不能删除呢?查了一下资料,才知道这个wtmp
linux11-日志管理,内核编译
08-10
此外,`/var/log/cron`记录了定时任务的日志,`/var/log/wtmp`和`/var/log/btmp`分别用于记录用户登录和失败登录的历史,而`/var/log/lastlog`则显示最后一次用户登录的信息。 日志文件的管理包括了日志轮换,这...
linux更改日志输出级别,Linux-日志管理
weixin_39837041的博客
05-01 1759
本章内容日志介绍日志配置日志管理远程日志基于MYSQL的日志日志介绍日志:历史事件:时间,地点,人物,事件日志级别:事件的关键性程度,Loglevel系统日志服务:sysklogd :CentOS 5之前版本syslogd: system application记录应用日志klogd: linux kernel记录内核日志事件记录格式:日期时间 主机 进程[pid]:事件内容C/S架构:通过TCP...
Linux-系统日志简介
兔子乖乖
12-19 2292
Linux-系统日志简介 1、日志的介绍 日志文件记录了时间,地点,人物,事件四大信息,故系统出现故障时,可以查询日志文件。 系统的日志文件默认都集中放置到/var/log/目录内,其中又以message记录的信息最多。 2、日志的重要性体现 日志文件的重要性主要体现在以下三方面: 解决系统方面的错误 解决网络服务的问题 过往事件记录 日志文件的权限通常是设置为root能够读取而已。由于日志文件可以记载系统很多的详细信息,所以一个有经验的主机管理员会随时随地查阅自己的日志文件,以掌握系统的最新动态。 注
利用系统登陆日志wtmp和btmp取证
03-04
利用python编写的一个获取linux操作系统登陆日志小程序。主要是用linux的shell语言,来获取系统的登陆日志。异常登陆选项是获取btmp日志
《网络安全自学教程》- Linux日志详解
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计的日志有哪些,解析日志字段含义。
Linux 中的 utmp、wtmp 和 btmp 文件是什么?
网络技术联盟站
12-04 1171
Linux系统中的utmp、wtmp和btmp文件是用于记录用户登录信息的重要文件。这些文件都是二进制数据文件,因此不能直接通过文本编辑器(如vim)打开和编辑。相反,我们需要使用特定的命令来查看这些文件的内容。
安全运营--centos7.6查看ssh登录日志分析服务器安全情况
MABOS的博客
01-05 4486
linux服务器在挂到外网的时候,很容易受到黑客的扫描,攻击,拿到服务器权限。所以,如有异常账户ip登录服务器,就应该高度警惕,更换密码,检查漏洞等。
linux 查看二进制日志文件,linux系统常用日志以及二进制登录日志/var/log/wtmp文件的查看方法...
weixin_32821579的博客
05-09 999
系统日志记录着系统运行中的记录信息,在服务或者系统发生故障的时候,通过查询系统日志,可以帮助我们诊断。系统日志可以预警安全问题,系统日志一般都存放在/var/log目录下[root@edu-web2 /]# cd /var/log[root@edu-web2 log]# pwd;ls -l wtmp secure dmesg messages lastlog maillog/var/log-rw-...
linux 用户管理(3)----查看用户登录时间以及命令历史
热门推荐
录事参军
02-26 8万+
1、查看当前登录用户信息 who命令: who缺省输出包括用户名、终端类型、登陆日期以及远程主机。 who /var/log/wtmp 可以查看自从wtmp文件创建以来的每一次登陆情况 (1)-b:查看系统最近一次启动时间 (2)-H:打印每列的标题users命令: 打印当前登录的用户,每个显示的用户名对应一个登陆会话。2、查看命令历史 每个用户都有
Linux 排查必看文件
SHELLCODE_8BIT的博客
11-24 1273
一个常见于Red Hat 系统(如CentOS、Fedora)的安全日志文件,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如 SSH,telnet,ftp 登录的成功和失败尝试。登录日志通常记录了用户的登录和注销活动,包括登录时间、来源IP地址、使用的用户名等信息。用户 home 目录下的隐藏文件,记录了该用户在终端中执行过的命令,可以永久保存用户的命令历史。Ubuntu 系统下的,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如SSH登录的成功和失败尝试。
LINUX日志审计
2302_77424749的博客
05-06 1179
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
Linux日志管理:wtmp与utmp详解及进程监控
本资源详细探讨了Linux系统...理解和掌握Linux日志管理不仅是确保系统稳定运行的关键,也是保障网络安全和维护系统健康的重要手段。熟练运用各种命令和工具,能够帮助IT专业人士有效地监控、分析和应对日志中的事件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值