![29704e2dd5aec8b39d9016f43bc7837e.png](https://i-blog.csdnimg.cn/blog_migrate/0cd925cc12bdae6a3d6e3d7fbd547152.jpeg)
系统中有一些重要的痕迹日志文件,如 /var/log/wtmp
、/var/run/utmp
、/var/log/btmp
、/var/log/lastlog
等日志文件,如果你用 vim 打开这些日志文件,你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录的系统,何时退出了系统,错误登录等重要的系统信息。这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志,只能通过对应的命令来查看。
1、w 命令
w 命令是显示系统中正在登录的用户信息的命令,这个命令查看的痕迹日志是
/var/run/utmp
[root@hepingfly bin]# w
#系统时间 # 持续开机时间 #登录用户 #系统在 1 分钟,5 分钟,15 分钟前的平均负载
00:21:28 up 18 min, 2 users, load average: 0.46, 0.24, 0.17
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 :0 00:03 18:14 2.77s 2.77s /usr/bin/Xorg :0 -br -verbose -audit 4 -auth /var/run/gdm/auth-for-gdm-vzfS4H/database -
root pts/0 :0.0 00:17 0.00s 0.05s 0.04s w
第一行信息内容如下:
![6252d4f1a0b26de1f1e214c269c46d95.png](https://i-blog.csdnimg.cn/blog_migrate/dfe327349d8658be4d3140af5b0766f2.jpeg)
第二行信息内容如下:
![76a07f11d7f1a87732055e0660577a20.png](https://i-blog.csdnimg.cn/blog_migrate/5a20fe83e2e2704d26df148302d9de07.jpeg)
2、who 命令
who 命令 和 w 命令类似,用于查看正在登录的用户,但是显示的内容更加简单,也是查看 /var/run/utmp
的日志
[root@hepingfly bin]# who
root tty1 2019-02-28 00:03 (:0)
root pts/0 2019-02-28 00:17 (:0.0)
#用户名 #登录终端 登录时间(来源 ip)
3、last 命令
last 命令是查看系统所有登录过的用户信息,包括正在登录的用户和之前登录过的用户。这个命令查看的是 /var/log/wtmp 痕迹日志文件
[root@hepingfly bin]# last
root pts/0 :0.0 Thu Feb 28 00:17 still logged in
root tty1 :0 Thu Feb 28 00:03 still logged in
reboot system boot 2.6.32-642.el6.x Thu Feb 28 00:03 - 00:52 (00:49)
#用户名 #终端号 #来源 IP 地址 #登录时间 # 退出时间
4、lastlog 命令
lastlog 命令是查看系统中所有用户最后一次的登录时间的命令,他查看的日志是 /var/log/lastlog
文件
5、lastb 命令
lastb 是查看错误登录信息的,查看的是 /var/log/btmp
痕迹日志
[root@hepingfly bin]# lastb
hepingfl tty1 :0 Wed Feb 27 02:16 - 02:16 (00:00)
hepingfl tty1 :0 Sat Feb 23 18:50 - 18:50 (00:00)
btmp begins Sat Feb 23 18:50:09 2019
# 错误登录用户 # 终端 #尝试登录时间