尚硅谷Linux学习笔记---常用命令-系统痕迹命令-CSDN博客

本文链接：https://blog.csdn.net/qq_43523618/article/details/105944188

这篇博客详细介绍了Linux系统中的五种系统痕迹命令：w命令显示当前登录用户及其活动；who命令提供简洁的登录用户信息；last命令列出所有历史登录记录；lastlog则展示所有用户的最后登录时间；lastb用于查看错误登录事件。这些命令帮助管理员了解系统的使用情况和安全状况。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2.12、系统痕迹命令

2.12.1、w 命令

显示系统中正在登录的用户信息的命令，查询的是/var/run/utmp 文档的内容

命令名称：w
英文原意：show who is logged on and what they are doing
执行权限：所有用户
功能描述：显示正在登陆的用户，和他正在做什么

[root@xyc ~]# w
 17:29:04  up 39 days,  2:19,  1 user,  load average: 0.01, 0.02, 0.05
 #系统时间  持续开机时间         登录用户    系统在1分钟，5分钟，15分钟前的平均负载

USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/1    222.142.53.98    16:49    0.00s  0.03s  0.00s w

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CwUQB1dR-1588728943816)(../AppData/Roaming/Typora/typora-user-images/image-20200429173126933.png)]

第二行信息

内容	说明
USER	当前登录的用户
TTY	登录的终端号： tty1-6:本地字符终端（alt+F1-6切换） tty7:本地图形终端（alt+F7切换，必须安装图形界面） pts/0~255:远程终端
FROM	登录的IP地址，如果是本地，则是空
LOGIN@	登陆时间
IDLE	用户闲置时间
JCPU	所有进程占用的CUP时间
PCPU	当前进程占用的CPU时间
WHAT	用户正在进行的操作

2.12.2、who

用于查看正在登陆的用户，显示内容相对于w更简单

[root@xyc ~]# who
root     pts/1        2020-04-29 16:49 (222.142.53.98)
#用户名  登陆终端       登陆时间 （来源IP）

2.12.3、last

查看系统所有登录过的用户信息，包括正在登陆的用户和之前登陆的用户查看/var/log/wtmp文件

[root@xyc ~]# last
#用户名   终端号        来源IP地址         登陆时间        -   退出时间    
user1    pts/0        222.142.53.98    Wed Apr 29 17:25 - 17:27  (00:01)    
user1    pts/0        222.142.53.98    Wed Apr 29 17:03 - 17:25  (00:21)    
root     pts/0        222.142.53.98    Wed Apr 29 16:58 - 17:03  (00:05)      
user1    pts/1        222.142.55.46    Fri Apr 24 00:17 - 04:45  (04:28)    
root     pts/0        222.142.55.46    Thu Apr 23 23:31 - 04:45  (05:14)    
root     pts/0        222.142.55.46    Wed Apr 22 22:57 - 03:00  (04:03)       
root     pts/0        223.91.204.183   Thu Mar 26 13:24 - 15:36  (02:12)    
root     pts/0        222.142.52.125   Tue Mar 24 17:15 - 17:30  (00:15)    
root     pts/0        222.142.50.254   Sun Mar 22 23:40 - 23:43  (00:03)    
root     pts/0        222.142.50.254   Sat Mar 21 15:14 - 15:43  (00:28)    
root     pts/0        118.31.243.5     Sat Mar 21 15:12 - 15:13  (00:00)    
root     pts/0        118.31.243.72    Sat Mar 21 15:12 - 15:12  (00:00)    
reboot   system boot  3.10.0-514.26.2. Sat Mar 21 23:09 - 17:48 (38+18:38)  
root     pts/0        222.142.50.254   Sat Mar 21 14:34 - crash  (08:35)    
root     pts/0        222.142.53.88    Wed Feb 19 08:08 - 08:08  (00:00)    
reboot   system boot  3.10.0-514.26.2. Sun Feb 16 23:00 - 17:48 (72+18:47)    

wtmp begins Fri Aug 18 12:00:53 2017

2.12.4、lastlog

查看系统中所有用户最后一次的登陆时间的命令，查看日志/var/log/lastlog

[root@xyc ~]# lastlog
# 用户名          终端号    ip地址            最后一次登陆时间 
Username         Port     From             Latest
root             pts/0    222.142.53.98    Wed Apr 29 16:58:11 +0800 2020
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
systemd-bus-proxy                           **Never logged in**
systemd-network                            **Never logged in**
dbus                                       **Never logged in**
polkitd                                    **Never logged in**
tss                                        **Never logged in**
sshd                                       **Never logged in**
postfix                                    **Never logged in**
chrony                                     **Never logged in**
ntp                                        **Never logged in**
nscd                                       **Never logged in**
tcpdump                                    **Never logged in**
mysql                                      **Never logged in**
www                                        **Never logged in**
redis                                      **Never logged in**
mongo                                      **Never logged in**
user1            pts/0    222.142.53.98    Wed Apr 29 17:25:16 +0800 2020

2.12.5、lastb

查看错误登录的信息，查看/var/log/btmp痕迹日志

[root@xyc ~]# lastb
#错误登录用户  终端      IP地址            尝试登陆时间
admin    ssh:notty    197.45.181.205   Wed Apr 29 14:05 - 14:05  (00:00)    
admin    ssh:notty    197.45.181.205   Wed Apr 29 14:05 - 14:05  (00:00)    
         ssh:notty    139.162.122.110  Wed Apr 29 03:29 - 03:29  (00:00)    
root     ssh:notty    45.67.15.97      Wed Apr 29 03:01 - 03:01  (00:00)    
root     ssh:notty    179.167.143.98   Tue Apr 28 17:45 - 17:45  (00:00)    
admin    ssh:notty    197.48.5.145     Tue Apr 28 07:40 - 07:40  (00:00)    
admin    ssh:notty    197.48.5.145     Tue Apr 28 07:40 - 07:40  (00:00)    
admin    ssh:notty    189.15.26.43     Tue Apr 28 07:40 - 07:40  (00:00)    
root     ssh:notty    188.106.31.135   Wed Apr  1 16:40 - 16:40  (00:00)    
root     ssh:notty    209.97.167.100   Wed Apr  1 11:08 - 11:08  (00:00)    
root     ssh:notty    209.97.167.100   Wed Apr  1 11:06 - 11:06  (00:00)    
root     ssh:notty    209.97.167.100   Wed Apr  1 11:04 - 11:04  (00:00)    
root     ssh:notty    209.97.167.100   Wed Apr  1 11:02 - 11:02  (00:00)    
root     ssh:notty    209.97.167.100   Wed Apr  1 10:58 - 10:58  (00:00)    
root     ssh:notty    171.88.20.64     Wed Apr  1 08:49 - 08:49  (00:00)    
root     ssh:notty    151.229.240.33   Wed Apr  1 08:39 - 08:39  (00:00)    
root     ssh:notty    35.206.118.46    Wed Apr  1 08:09 - 08:09  (00:00)    
         ssh:notty    139.162.122.110  Wed Apr  1 06:39 - 06:39  (00:00)    

btmp begins Wed Apr  1 06:39:20 2020