linux系统管理常用【copy from web】

常用的小记于此

http://blog.chinaunix.net/u3/94782/showart_2062665.html

1、查看某文件的一部分
如果你只想看文件的前 5 行，可以使用 head 命令，
如：head -5 /etc/passwd
如果你想查看文件的后 10 行，可以使用 tail 命令，
如：tail -10 /etc/passwd
查看文件中间一段，可以使用 sed 命令
如:sed –n '5,10p' /etc/passwd 这样你就可以只查看文件的第 5 行到第 10 行
2、将 file.txt 里的123改为 456
方法 1
sed 's/123/456/g' file.txt > file.txt.new    修改的保存到其它文件
sed -i 's/123/456/g' file.txt 直接修改原文件
方法 2
vi file.txt
输入命令：
:%s/123/456/g
注意：如果替换的文件有特殊符号如/就要用\来取消。
例：sed -i 's/\/usr\/local\/apache2\/htdocs/\/var\/www\/html/g' /usr/local/apache2/conf/httpd.conf
如果只是下原有的行后添加就用&
例：sed -i 's/DirectoryIndex index.html index.html.var/& index.htm index.php /g' /usr/local/apache2/conf/httpd.conf
3、echo 典型应用
echo "abcdefg" | perl -lne '{$a = reverse($_); print $a;}' 把一个字符串翻转
echo bottle|rev 把一个字符串翻转
[文件目录管理]
1、删除几天以前的所有东西(包括目录名和目录中的文件）
1) find . -ctime +3 -exec rm -rf {} \;
2) find ./ -mtime +3 -print|xargs rm -f –r
2、在多级目录中查找某个文件的方法
1) find /dir -name filename.ext
2) du -a | grep filename.ext
3) locate filename.ext
3、删除软硬连接注意点
删除软件连接的时候一定要记得不要在删除的文件夹后加一斜杠,
rm -f filename/   
会说这是一个文件夹不能删除
rm filename
会提示说是否要删除这个连接。
如果用的第一种可能会把其它文件都删除
4、删除目录中含输入关键字的文件
find /mnt/ebook/ -type f -exec grep "在此输入关键字" {} \; -print -exec rm {} \;
5、在当前目录下解压 rpm 文件
cat kernel-ntfs-2.4.20-8.i686.rpm | rpm2cpio | pax –r
6、用命令清空 Root 回收站中的文件
cd /var/.Trash-root
rm -rf *
[系统与安全]
1、让用户的密码必须有一定的长度，并且符合复杂度
vi /etc/login.defs，修改 PASS_MIN_LEN
2、用 dat 查询昨天的日期
date --date='yesterday'
3、修改系统时
1) 设置你的时区： timeconfig 里选择Asia/Shanghai （如果你位于 GMT+8 中国区域）
2) 与标准时间服务器校准： ntpdate time.nist.gov
date -s “2003-04-14 cst”，cst 指时区，时间设定用 date -s 18:10  
修改后执行 clock -w 写到 CMOS
3) 将当前软件系统时间写入硬件时钟： hwclock –systohc
4、改变 redhat 的系统语言/字符集
修改 /etc/sysconfig/i18n 文件，如
LANG="en_US"，xwindow会显示英文界面，
LANG="zh_CN.GB18030"，xwindow会显示中文界面。
还有一种方法
cp /etc/sysconfig/i18n $HOME/.i18n
vi $HOME/.i18n 文件，如
LANG="en_US"，xwindow会显示英文界面，
LANG="zh_CN.GB18030"，xwindow会显示中文界面。
这样就可以改变个人的界面语言，而不影响别的用户
5、查看系统信息
cat /proc/cpuinfo - CPU (i.e. vendor, Mhz, flags like mmx)
cat /proc/interrupts - 中断
cat /proc/ioports - 设备 IO端口
cat /proc/meminfo - 内存信息(i.e. mem used, free, swap size)
cat /proc/partitions - 所有设备的所有分区
cat /proc/pci - PCI设备的信息
cat /proc/swaps - 所有 Swap 分区的信息
cat /proc/version - Linux 的版本号 相当于 uname -r
uname -a - 看系统内核等信息
6、让 linux自动同步时间
vi /etc/crontab
加上一句：
00 0 1 * * root rdate -s time.nist.gov
7、如何防止某个关键文件被修改
在 Linux 下，有些配置文件是不允许任何人（包括 root）修改的。为了防止被误删除或修改
可以设定该文件的“不可修改位(immutable) ”。命令如下：
# chattr +i /etc/fstab
如果需要修改文件则采用下面的命令：
# chattr -i /etc/fstab
[管理与网络]
1、 lsof 用法小全
lsof abc.txt 显示开启文件 abc.txt 的进程
lsof -i :22 知道 22 端口现在运行什么程序
lsof -c nsd 显示 nsd 进程现在打开的文件
lsof -g gid 显示归属 gid 的进程情况
lsof +d /usr/local/ 显示目录下被进程开启的文件
lsof +D /usr/local/ 同上，但是会搜索目录下的目录，时间较长
lsof -d 4   显示使用 fd 为4 的进程
lsof -i 用以显示符合条件的进程情况
语法: lsof -i[46] [protocol][@hostname|hostaddr][:service|port]
46 --> IPv4 or IPv6
protocol --> TCP or UDP
hostname --> Internet host name
hostaddr --> IPv4 位置
service --> /etc/service中的 service name (可以不止一个)
port --> 端口号(可以不止一个)
例子: TCP:25 - TCP and port 25
@1.2.3.4 - Internet IPv4 host address 1.2.3.4
[email=tcp@ohaha.ks.edu.tw:ftp]tcp@ohaha.ks.edu.tw:ftp[/email]
- TCP protocol host:ohaha.ks.edu.tw service name:ftp
lsof -n 不将 IP转换为 hostname，预设是不加上-n参数
例子: lsof -i
[email=tcp@ohaha.ks.edu.tw:ftp]tcp@ohaha.ks.edu.tw:ftp[/email]
-n
lsof -p 12    看进程号为 12的进程打开了哪些文件  
2、grep 不显示本身进程
#ps -aux|grep httpd|grep -v grep
grep -v grep可以取消显示你所执行的 grep 本身这个进程，-v 参数是不显示所列出的进程名
3、查看本机IP
ifconfig |grep "inet" |cut -c 0-36|sed -e 's/[a-zA-Z: ]//g'
hostname –i
4、查看有多少活动的Httpd进程
#!/bin/sh
while (true)
do
pstree |grep "*\[httpd\]$"|sed 's/.*-\([0-9][0-9]*\)\*\[httpd\]$/\1/'
sleep 3
done
    同样可以引用到其它的进程
   5、设置 com1口，让超级终端通过 com1口进行登录
第一步：确认有/sbin/agetty，编辑/etc/inittab，添加
7:2345:respawn:/sbin/agetty /dev/ttyS0 9600
9600bps 是因为连路由器时缺省一般都是这种速率，也可以设成
19200、38400、57600、115200
第二步：修改/etc/securetty，添加一行：ttyS0，确保 root 用户能登录
第三步：重启机器，就可以拔掉鼠标键盘显示器（启动时最好还是要看看输出信息）了
6、查找或删除正在使用某文件的进程
fuser filename
fuser -k filename
7、已知网络中一个机器的硬件地址，如何知道它所对应的 IP地址
在 Linux 下，假定要查“00:0A:EB:27:17:B9”这样一个硬件地址所对应的 IP 地址，可以使
用以下命令：
# cat /proc/net/arp |grep 00:0A:EB:27:17:B9
192.168.2.54 0x1 0x6 00:0A:EB:27:17:B9 *eth2
另外，还可以用“arp -a”命令查询：
# arp –a|grep 00:0A:EB:27:17:B9
（192.168.2.54）at 00:0A:EB:27:17:B9[ether] on eth2
8、在 Linux下如何绑定 IP地址和硬件地址
可以编辑一个地址对应文件，里面记录了 IP地址和硬件地址的对应关系，然后执行“arp –
f 地址对应文件”。如果没有指定地址对应文件，则通常情况下一默认文件/etc/ethers为准。
地址对应文件的格式如下：
192.168.0.1 00:0D:61:27:58:93
192.168.0.2 00:40:F4:2A:2E:5C
192.168.0.3 00:0A:EB:5E:BA:8E
9、更改 eth0是否混杂模式（混杂模式可以监听其它主机的信息）
网卡 eth0 改成混杂模式：
ifconfig eth0 promisc
关闭混杂模式：
ifconfig eth0 –promisc
10、linux下清空 arp表的命令
#arp -d -a(适用于 bsd)
for HOST in `arp | sed '/Address/d' | awk '{ print $1}'` ; do arp -d $HOST; done
11、如何得到网卡的 MAC地址
arp -a | awk '{print $4}'
ifconfig eth0 | head -1 | awk '{print $5}'
12、一个网卡绑定多 ip
方法一、建立eth0:1在网卡后加冒号和数字的文件
cp /etc/sysconfig/network-scripts/eth0 /etc/sysconfig/network-scripts/eth0:1
再修改下eth0:1就可以了.
方法二、
在/etc/sysconfig/network-scripts/下创建一个文件：ifcfg-ethX-rangeX （"X"为网卡号）
文件内容：
IPADDR_START=
IPADDR_END=
CLONENUM=0
可以有 256个 ip
13、一个 ip如何绑定两块网卡
假设 192.168.0.88 是ip,192.168.0.1 是网关:
/sbin/modprobe bonding miimon=100 mode=1
/sbin/ifdown eth0
/sbin/ifdown eth1
/sbin/ifconfig bond0 192.168.0.88
/sbin/ifenslave bond0 eth0 eth1
/sbin/route add default gw 192.168.0.1
14、设置ssh 上来能不自动断线
修改自己 HOME 目录下的.bash_profile文件，加上
export TMOUT=1000000 (以秒为单位)
然后运行 source .bash_profile
15、mount 局域网上其他windows机器共享出的目录
mount -t smbfs -o username=guest,password=guest //machine/path /mnt/cdrom
16、向登陆到同一台服务器上的所有用户发一条信息
1)输入 wall并回车
2)输入要发送的消息
3)结束时按“Control-d”键,消息即在用户的控制窗口中显示
17、向远程机器上的所有用户发送消息
使用 rwall(向所有人远程写)命令同时发送消息到网络中的所有用户。
rwall hostname file
当使用 CDE或 OpenWindows 等窗口系统时,每个窗口被看成是一次单个的登录;
如果用户登录次数超过一次则消息直接发送到控制窗口  
18、向网络中的所有用户发送消息
发送消息到网络中的所有用户
1)输入 rwall -n netgroup 并回车
2)输入要发送的消息
3)结束时按“Control-d”键，消息即在系统每个用户的控制窗口中显示，下面是系统管理员
发消息到网络组 Eng 每个用户的例子：
% rwall -n EngSystem will be rebooted at 11:00.(Control-d)
%
用户控制窗口中的消息:Broadcast message from root on console…System will be rebooted at
11:00.EOF
注意：也可以通过 rwall hostname（主机名）命令到系统的所有用户  
19、 将 top的结果输出到文件中
top -d 2 -n 3 -b >test.txt
可以把 top 的结果每隔 2秒，打印 3次，这样后面页的进程也能够看见了
20、装双系统不能看到另一个系统的解决办法
首先光盘启动，进入 rescue 模式，运行 GRUB，进入 grub 提示符 grub>，然后敲入下面的
语句，重启就好了。
root (hd0,2)，setup (hd0)
21、压缩传输文件或目录
传输到远程：tar czf - www | ssh server "tar zxf -"
压缩到远程：tar czf - www | ssh server "cat >

www.tar.gz
"
解压到远程：ssh server "tar zxf -"
22、命令行下发送带附件的邮件
方法 1.      uuencode   | mail -s "title"
[email=mail@address]mail@address[/email]
本地需要作为附件的文件名。
邮件中的附件文件名，可以和不同，其实内容一样。
方法 2.       cat  | mutt -s "title" -a  
[email=mail@address]mail@address[/email]
邮件正文内容。
本地需要作为附件的文件名。
[Mysql维护]
1、mysql 的数据库存放在什么地方
1) 如果使用 rpm包安装，应该在/var/lib/mysql 目录下，以数据库名为目录名
2) 如果源码安装在/usr/local/mysql中，应该在/usr/local/mysql/var中，以数据库名为目录名
2、 从 mysql 中导出和导入数据
导出数据库
mysqldump 数据库名 > 文件名
导入数据库
mysqladmin create 数据库名
mysql 数据库名
   5、 导出数据的几种常用方法
1)使用 mysqldump
#mysqldump -uuser -ppassword -B database --tables table1 --tables table2 >
dump_data_20051206.sql
详细的参数
2)backup to语法
mysql>BACKUP TABLE tbl_name[,tbl_name...] TO '/path/to/backup/directory';
详细请查看 mysql 手册
3)mysqlhotcopy
#mysqlhotcopy db_name [/path/to/new_directory]
或
#mysqlhotcopy db_name_1 ... db_name_n /path/to/new_directory
或
#mysqlhotcopy db_name./regex/
详细请查看 mysql 手册
4)select into outfile
详细请查看 mysql 手册
5)客户端命令行
#mysql -uuser -ppassword -e "sql statements" database > result.txt
以上各种方法中，以 mysqldump 最常用
   6、 如何在命令行上执行 sql 语句
#mysql -uuser -ppassword -e "sql statements" database
7、 导入备份出来文件的常见方法
1)由 mysqldump 出来的文件
#mysql -uuser -ppassword [database] source /path_to_file/dump.sql;
3)按照一定格式存储的文本文件或 csv 等文件
#mysqlimport [options] database file1 [file2....]
详细请查看 mysql 手册
4)文件类型同上，也可以使用 load data 语法导入
详细请查看 mysql 手册
4、过滤掉#号打头的行，和所有的空行（对于查看配置文档很有用）
awk '/^[^#]/&&/^[^$]/' filename > new.file
7.删除文件大小为零的文件
rm   -i   `find ./   -size 0`  
find ./   -size 0   -exec   rm   {}   \;  
find ./   -size |xargs   rm   -f &非常有效  
for   file   in   * #自己定义需要删除的文件类型  
do  
if   [   !   -s ${file}   ]  
then  
rm   ${file}  
echo   "rm   $file   Success!"  
fi  
done  
8.利用现存两个文件，生成一个新的文件
1) 取出两个文件的并集(重复的行只保留一份)  
2) 取出两个文件的交集(只留下同时存在于两个文件中的文件)  
3) 删除交集，留下其他的行  
A cat   file1   file2   | sort   | uniq  
B cat   file1   file2   | sort   | uniq -d  
C cat   file1   file2   | sort   | uniq -u  
6、更改字符集
     网站因为迁移改变了原有的字符集，导致前台看到乱码。如果是少数的几个页可以直接拿到本地用Editplus或者UltraEdit进行另存为时选择字符编码。现在有一个不用拿到本地的方法，在Linux机器上就能进行。
conv -f    -t       -o   
如：将GB2312转为UTF-8   注意：转成的必须是新的文件名，不然会出错。
/usr/bin/iconv –f GB2312 –t UTF-8 sourcefile > targetfile
[管理与维护]
增加虚拟内存
        26.如果SWAP(交换空间)不够了，要增加怎么办？只要你的硬盘上有空闲的空间，直接用命令：mkswape/dev/hda(假设你的驱动器是/dev/hda)，swapon/dev/hda；要自动启动SWAPE，可以把新的分区加到/etc/fstab中去，照着原来SWAP的写就行了。用“free” 检查 你SWAP的大小，Linux支持最多16个交换分区，每个交换分区最大128MB，没有空闲分区的时候，可以用个大文件来建立，用命令“man mkswap”查看帮助。
# dd if=/dev/zero of=swapfile bs=1024 count=8192
# mkswap swapfile 8192
# sync
# swapon swapfile
27、一次解压多个.tar.gz文件
find ./ -name '*.tar.gz' -exec tar zxvf {} \; -print

---------------------------------------------------------------

ubuntu：

可以使用以下命令清理系统垃圾sudo apt-get autoclean 清理旧版本的软件缓存sudo apt-get clean 清理所有软件缓存sudo apt-get autoremove 删除系统不再使用的孤立软件执行

sudo nautilus /boot

删除除了最新内核以外的其它文件，（比如2006-08-17 官方内核是 26，那就可以删除所有 23,25结尾的旧内核文件）

整理grub启动菜单

sudo gedit /boot/grub/menu.lst

删除除最新内核以外的其它启动项（如23,25等）

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

Ubuntu Linux与Windows系统不同，Ubuntu Linux不会产生无用垃圾文件，但是在升级缓存中，Ubuntu Linux不会自动删除这些文件，今天就来说说这些垃圾文件清理方法。

1，非常有用的清理命令：

sudo apt-get autocleansudo apt-get cleansudo apt-get autoremove

这三个命令主要清理升级缓存以及无用包的。

2，清理opera／ firefox的缓存文件：

ls ~/.opera/cache4

ls ~/.mozilla/firefox/*.default/Cache

3，清理Linux下孤立的包：

图形界面下我们可以用：gtkorphan

sudo apt-get install gtkorphan -y

终端命令下我们可以用：deborphan

sudo apt-get install deborphan -y

4，卸载：tracker

这个东西一般我只要安装Ubuntu就会第一删掉tracker 他不仅会产生大量的cache文件而且还会影响开机速度。所以在新得利里面删掉就行。

5，删除多余的内核：一定不要删错哦，切记！！

打开终端敲命令：dpkg --get-selections|grep linux

有image的就是内核文件

删除老的内核文件：

sudo apt-get remove 内核文件名 （例如：linux-image-2.6.27-2-generic）

内核删除，释放空间了，应该能释放130－140M空间。

最后不要忘了看看当前内核：uname -a

附录：

包管理的临时文件目录:

包在

/var/cache/apt/archives

没有下载完的在

/var/cache/apt/archives/partial

--------------------------------------------------

1. 日志简介
在Linux系统中，有三个主要的日志子系统：
连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下：
access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息（有的链接到syslog文件）
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息（通常链接到messages文件）
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp
.1变为wtmp.2等等，直到wtmp.7。
每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。
下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。
2. 具体命令
wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。
例如：w（回车）显示：
3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
users：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。
例如：user s（回车）显示：
chyang lewis lewis ylou ynguo ynguo
last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。
例如：
chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用户，那么last只报告该用户的近期活动，
例如：last ynguo（回车）显示 ：
ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
ac：ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。
例如：ac（回车）显示：total 5177.47 ac -d（回车）显示每天的总的连结时间
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02
ac -p （回车）显示每个用户的总的连接时间
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24
lastlog：lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示"**Never logged**。注意需要以root运行该命令，
例如：
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
另外，可一加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。
3. 进程统计
UNIX可以跟踪每个用户运行的每条命令，如果想知道昨晚弄乱了哪些重要的文件，进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同，进程统计子系统缺省不激活，它必须启动。在Linux系统中启动进程统计使用accton命令，必须用root身份来运行。Accton命令的形式accton file，file必须先存在。先使用touch命令来创建pacct文件：touch /var/log/pacct，然后运行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何参数的accton命令。
lastcomm命令报告以前执行的文件。不带参数时，lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户，输入则可能很长。下面的例子：
crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
tail root ?? 0.01 secs Sun Aug 20 00:16
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.02 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 0.00 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15
进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。
它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们，然后读pacct文件，使报告能包含所有的可用信息。sa的输出有下面一些标记项：
avio--每次执行的平均I/O操作次数
cp--用户和系统时间总和，以分钟计
cpu--和cp一样
k--内核使用的平均CPU时间，以1k为单位
k*sec--CPU存储完整性，以1k-core秒
re--实时时间，以分钟计
s--系统时间，以分钟计
tio--I/O操作的总数
u--用户时间，以分钟计
例如：
842 173.26re 4.30cp 0avio 358k
2 10.98re 4.06cp 0avio 299k find
9 24.80re 0.05cp 0avio 291k ***other
105 30.44re 0.03cp 0avio 302k ping
104 30.55re 0.03cp 0avio 394k sh
162 0.11re 0.03cp 0avio 413k security.sh*
154 0.03re 0.02cp 0avio 273k ls
56 31.61re 0.02cp 0avio 823k ping6.pl*
2 3.23re 0.02cp 0avio 822k ping6.pl
35 0.02re 0.01cp 0avio 257k md5sum
97 0.02re 0.01cp 0avio 263k initlog
12 0.19re 0.01cp 0avio 399k promisc_check.s
15 0.09re 0.00cp 0avio 288k grep
11 0.08re 0.00cp 0avio 332k awk
用户还可以根据用户而不是命令来提供一个摘要报告。
例如:sa -m显示如下：
885 173.28re 4.31cp 0avk
root 879 173.23re 4.31cp 0avk
alias 3 0.05re 0.00cp 0avk
qmailp 3 0.01re 0.00cp 0avk
4. Syslog设备
Syslog已被许多日志函数采纳，它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。
Syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，习惯上，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围（但不在日之中出现）。
每个syslog消息被赋予下面的主要设备之一：
LOG_AUTH--认证系统：login、su、getty等
LOG_AUTHPRIV--同LOG_AUTH，但只登录到所选择的单个用户可读的文件中
LOG_CRON--cron守护进程
LOG_DAEMON--其他系统守护进程，如routed
LOG_FTP--文件传输协议：ftpd、tftpd
LOG_KERN--内核产生的消息
LOG_LPR--系统打印机缓冲池：lpr、lpd
LOG_MAIL--电子邮件系统
LOG_NEWS--网络新闻系统
LOG_SYSLOG--由syslogd（8）产生的内部消息
LOG_USER--随机用户进程产生的消息
LOG_UUCP--UUCP子系统
LOG_LOCAL0~LOG_LOCAL7--为本地使用保留
Syslog为每个事件赋予几个不同的优先级：
LOG_EMERG--紧急情况
LOG_ALERT--应该被立即改正的问题，如系统数据库破坏
LOG_CRIT--重要情况，如硬盘错误
LOG_ERR--错误
LOG_WARNING--警告信息
LOG_NOTICE--不是错误情况，但是可能需要处理
LOG_INFO--情报信息
LOG_DEBUG--包含情报的信息，通常旨在调试一个程序时使用
syslog.conf文件指明syslogd程序纪录日志的行为，该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。所以如果指明"crit"，那所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。例如，如果想把所有邮件消息纪录到一个文件中，如下：
#Log all the mail messages in one place
mail.* /var/log/maillog
其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为"err"或更高。例如：
# Save mail and news errors of level err and higher in aspecial file.
uucp,news.crit /var/log/spooler
当一个紧急消息到来时，可能想让所有的用户都得到。也可能想让自己的日志接收并保存。
#Everybody gets emergency messages， plus log them on anther machine
*.emerge *
*.emerge @linuxaid.com.cn
alert消息应该写到root和tiger的个人账号中：
#Root and Tiger get alert and higher messages
*.alert root,tiger
有时syslogd将产生大量的消息。例如内核（"kern"设备）可能很冗长。用户可能想把内核消息纪录到/dev/console中。下面的例子表明内核日志纪录被注释掉了：
#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console
用户可以在一行中指明所有的设备。下面的例子把info或更高级别的消息送到/var/log/messages，除了mail以外。级别"none"禁止一个设备：
#Log anything（except mail）of level info or higher
#Don log private authentication messages!
*.info:mail.none;authpriv.none /var/log/messages
在有些情况下，可以把日志送到打印机，这样网络入侵者怎么修改日志都没有用了。通常要广泛纪录日志。Syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，因此要特别注意。
有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，使用户能创建日志文件中的条目。用法：logger 例如：logger This is a test！
它将产生一个如下的syslog纪录：Aug 19 22:22:34 tiger: This is a test!
注意不要完全相信日志，因为攻击者很容易修改它的。
5. 程序日志
许多程序通过维护日志来反映系统的安全状态。su命令允许用户获得另一个用户的权限，所以它的安全很重要，它的文件为sulog。同样的还有sudolog。另外，想Apache有两个日志：access_log和error_log。
6. 其他日志工具
chklastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/chklastlog/

chkwtmp
ftp://coast.cs.purdue.edu/pub/tools/unix/chkwtmp/

dump_lastlog
ftp://coast.cs.purdue.edu/pub/tools/unix/dump_lastlog.Z

spar
ftp://coast.cs.purdue.edu/pub/tools/unix/TAMU/

Swatch
http://www.lomar.org/komar/alek/pres/swatch/cover.html

Zap
ftp://caost.cs.purdue.edu/pub/tools/unix/zap.tar.gz

日志分类方法
http://csrc.nist.gov/nissc/1998/proceedings/paperD1.pdf

bbs.chinaunix.net/forum.php?mod=viewthread&tid=2181978&highlight=