Linux用户登录记录日志和相关查看命令

Linux用户登录记录日志和相关查看命令

Linux用户登录信息放在三个文件中：

1　　/var/run/utmp：记录当前正在登录系统的用户信息，默认由who和w记录当前登录用户的信息，uptime记录系统启动时间；

[root@root log]# cat /var/run/utmp

2　　/var/log/wtmp：记录当前正在登录和历史登录系统的用户信息，默认由last命令查看；

[root@root log]# last -n 5/var/log/wtmp

3　　/var/log/btmp：记录失败的登录尝试信息，默认由lastb命令查看。

[root@root log]# lastb -n 6/var/log/btmp

这三个文件都是二进制数据文件，并且三个文件结构完全相同，是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。

默认情况下文件的日志信息会通过logrotate日志管理工具定期清理。logrotate的配置文件是/etc/logrotate.conf，此处是logrotate的缺省设置，通常不需要对它进行修改。日志文件的轮循压缩等设置存放在独立的配置文件中，它（们）放在/etc/logrotate.d/目录下，它会覆盖缺省设置。

如果不想记录相关信息，则可以直接将相关文件删除即可。如果系统不存在该文件，则需要在此路径touch一个文件就可以继续记录相关信息了。

此外：

如果想禁用who命令，则只需要将utmp的可读权限去掉就行，这样非root用户就不能用此命令了；如果是btmp文件，手工创建的话注意权限必须为600，否则不能正确写入信息。

记录最后一次用户成功登陆的时间、登陆IP等信息
[pan@root ~]$ ==cat /var/log/lastlog ==

记录Linux操作系统常见的系统和服务错误信息
cat /var/log/messages

Linux系统安全日志，记录用户和工作组变化情况、用户登陆认证情况
[root@root log]# cat /var/log/secure
tail -f /var/log/secure 实时查看

记录系统登陆失败的用户、时间以及远程IP地址
[root@root log]# cat /var/log/btmp

暴力破解的人，不停的尝试各种用户名+各种密码，看来是有一个字典库了。
查看发起攻击的IP和攻击次数
Linux命令：cat /var/log/secure | awk ‘/Failed/{print $(NF-3)}’ | sort | uniq -c | awk ‘{print $2" = "$1;}’
数据：