系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件,这几个文件用vi打开是一些二进制乱码,因为这些日志文件中保存了重要的登陆痕迹,包括某个用户什么时候登陆了系统,什么时候退出了系统,错误登陆等重要系统信息这些信息要是通过vi可以编辑痕迹是不准确的,只能用对应的命令查看。
1、w命令
w命令是显示系统中正在登陆的用户信息的命令,这个命令查看的痕迹日志是/var/run/utmp。
[root@akun ~]# w
07:35:24 up 1 min, 1 user, load average: 0.11, 0.04, 0.01
#系统时间 持续开机时间 当前登录用户 系统在1分钟,5分钟,15分钟前的平均负载
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.247.1 07:35 0.00s 0.18s 0.11s w
第一行信息中load average: 0.11, 0.04, 0.01表示系统在之前1分钟,5分钟,15分钟的平均负载,如果cpu是单核的,则这个数值超过1就是高负载,如果是四核的cpu,则这个数值超过4就是高负载。(这个平均负载完全是依据个人经验判断,一般认为不应该超过服务器cpu核数)
cpu使用率一般不超70%,内存使用率不超90%
第二行是表头
内容 | 说明 |
---|---|
USER | 当前登录的用户 |
TTY | 登录的终端1 |
FROM | 登录的ip地址,如果是本地终端,这是空的 |
LOGIN@ | 登录时间 |
IDLE | 用户闲置时间 |
JCPU | 所有进程占用的cpu时间 |
pcpu | 当前进程占用的cpu时间 |
WHAT | 用户正在进行的操作,显示-bash表示等待没有操作 |
2、who命令
who命令和w命令类似,用于查看正在登陆的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志
[root@akun ~]# who
root pts/0 2020-07-01 01:01 (192.168.247.1)
#用户名 登陆终端 登陆时间(来源ip)
3、last命令
last命令是查看系统所有登陆过的用户信息,包括登陆的用户和之前登陆过的用户,这个命令查看的是/var/log/wtmp痕迹日志文件
[root@akun ~]# last
root pts/0 192.168.247.1 Wed Jul 1 01:01 still logged in(表示现在登录还没推出)
reboot system boot 2.6.32-754.el6.x Wed Jul 1 00:51 - 01:07 (00:15)
#系统重启记录
root pts/0 192.168.247.1 Tue Jun 30 07:35 - down (00:51)
reboot system boot 2.6.32-754.el6.x Tue Jun 30 07:34 - 08:26 (00:52)
sxk2 pts/1 192.168.247.1 Wed Jun 24 07:07 - 08:28 (01:21)
root pts/1 192.168.247.1 Wed Jun 24 00:44 - 07:05 (06:21)
root pts/1 192.168.247.1 Wed Jun 24 00:42 - 00:43 (00:00)
#用户名 终端号 来源ip 登陆时间 - 退出时间
4、lastlog命令
lastlog命令是查看系统中所有用户最后一次登录时间的命令,查看的是/var/log/lastlog文件
[root@akun ~]# lastlog
用户名 端口 来自 最后登陆时间
root pts/0 192.168.247.1 三 7月 1 01:01:12 +0800 2020
bin **从未登录过**
daemon **从未登录过**
adm **从未登录过**
lp **从未登录过**
sync **从未登录过**
shutdown **从未登录过**
halt **从未登录过**
···省略一些系统伪用户···(伪用户用于启动一些系统服务不能删除不能登录)
sxk2 pts/1 192.168.247.1 三 6月 24 07:07:03 +0800 2020
#用户名 终端 来源IP 时间
5、lastb命令
lastb命令用于查看错误登陆系统的信息,查看的是/var/log/btmp痕迹日志
[root@akun ~]# lastb
sxk2 tty1 Wed Jul 1 06:10 - 06:10 (00:00)
root tty1 Wed Jul 1 06:10 - 06:10 (00:00)
#错误登陆用户名 终端 尝试登录时间
btmp begins Wed Jul 1 06:10:47 2020
注释
· 本地字符终端:有6个字符终端用tty1-tty6表示,使用alt+F1-6来切换
· 本地图形终端:有1个图形终端用tty7表示,使用ctrl+F7(按住3秒,需要安装图形界面)
· 远程终端:远程终端默认有256个 用pts/0-255表示 ↩︎