Linux系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件,如果使用vim打开这些文件,会发现都是二进制乱码,这是由于这些日志中保存的是系统的重要登录痕迹等,包括某个用户何时登录了系统、何时退出了系统、错误登录等重要的信息,如果可以通过vim打开编辑,信息就会不准确,所以只能通过对应的命令来进行查看。
1、w命令:显示系统中正在登录的用户的信息,该命令查看的痕迹日志是/var/run/utmp
信息说明:
| 字段 | 说明 |
|---|---|
| USER | 登录的用户 |
| TTY | 登录的终端号 |
| FROM | 登录的IP地址(如果是本地终端,则是空) |
| LOGIN@ | 登录时间 |
| IDLE | 用户闲置时间 |
| JCPU | 所有的进程占用的CPU时间 |
| PCPU | 当前进程占用的CPU时间 |
| WHAT | 用户正在进行的操作 |
2、who命令:和w命令类似,用于查看正在登录的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志
3、last命令:查看系统所有登录过的用户的信息,包括正在登录的用户和之前登录的用户,查看的是/var/log/wtmp日志
4、lastlog命令:查看系统中所有用户的最后一次登录时间的命令,查看的是/var/log/lastlog日志
5、lastb命令:查看错误登录的信息,查看的是/var/log/btmp日志
397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
