在Linux中,用户所做的操作、系统运行情况等重要数据都存放在系统相应的日志文件中,这样可以使的在维护中做到有迹可循。方便排查问题。但是某些重要的日志文件若使用vi/vim编辑器无法查看。这是因为vi/vim这样查看并不准确(可能存在人为修改或者误改的情况)。但是可以使用相对应的命令进行查看。
一、w 命令 (显示谁登录了,他们在做什么) w 命令查看的日志是 /var/run/utmp
![840ef8848285f8bcbc8e57df9bb3c347.png](https://i-blog.csdnimg.cn/blog_migrate/70e2c7ff4663328de124fb605f7f13fc.jpeg)
上图所示,登录两个用户,系统中登录两个用户。(root与user1)
w命令输出了三行信息。(三、四两行用户不同,但各个参数含义是一样的)
第一行:系统当前时间、系统开机时间、登录用户数、系统前1分钟CPU负载、系统前5分钟CPU负载、系统前15f分钟CPU负载。
(其中平均负载是一个参考值)。
第二行:登录的用户、登录的终端、登录端的IP地址、登录时间、用户闲置时间、所有进程占用CPU时间、当前进程所占CPU时间、用户正在进行的操作。
其中 (登录的终端:tty1-6代表本地字符终端、tty7代表本地图形终端、pts/0-255代表远程终端)(-bash 代表当前用户正在闲置或运行w时无操作)
二、who 命令 (显示谁在登录) who 命令查看的日志是 /var/run/utmp
![a70af58347ad02037e3f62daf2127f94.png](https://i-blog.csdnimg.cn/blog_migrate/78657768f569a775dada79ddcd481dc0.jpeg)
相对于 w 命令 who 命令更加简单明了
登录用户名、登录的终端、登录时间、登录者的IP
三、last 命令 (显示包括正在登录或者之前登录过的用户的列表) last 命令查看的日志是/var/log/wtmp
![0746674841563b3e9190e3e4e1e195eb.png](https://i-blog.csdnimg.cn/blog_migrate/7158f6d688061eee4f2a2ffe33e17bb1.jpeg)
左→:用户名、终端号、登录者IP地址、登录时间、退出时间
其中包括系统重启也记录在内。
查询具体时间内的登录用户 [-t YYYYMMDDHHMMSS]
四、lasrlog 命令 (查看系统内所有用户最后一次登录时间) lastlog 命令查看的是/var/log/lastlog
![315c902e7cb08809b75c0cf35f7c6ef2.png](https://i-blog.csdnimg.cn/blog_migrate/7479b62bfaa35bf90eb2ce3ba22fc2e9.jpeg)
左→:用户名、终端号、登录者IP地址、登录时间
五、lastb 命令 (显示最后登录错误的用户)lastb 命令查看的是/var/log/btmp
![3285ba8ac474dfdbe6f47f823aa9e491.png](https://i-blog.csdnimg.cn/blog_migrate/22665664737523ffebc8a3fcf9d81a65.jpeg)
左→:用户名、登录方式、登录者IP地址、尝试登录时间
六、history 命令(查看此用户所执行过的命令,最多记录1000个)history 命令查看的~/.bash_history。
![58ea7cb7cbe8258a7680eb04cacfcad9.png](https://i-blog.csdnimg.cn/blog_migrate/2e7044a0a25734eb9b648cefb6e1fe99.jpeg)
也可以使用cat .bash_history 命令直接查看这个文件,效果是一样的。