系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp 、/var/log/btmp 、/var/log/lastlog等日志文件,如果你用vim打开这些文件,你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误登录等重要的系统信息。这些信息要是可以通过vim打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志只能通过对应的命令来进行查看。
1.w命令
w命令是显示系统中正在登陆的用户信息的命令,这个命令查看的痕迹日志是/var/run/utmp
- 命令名称:w
- 英文原意:Show who is logged on and what they are doing
- 所在路径:/usr/bin/w
- 执行权限:所有用户
- 功能描述:显示灯用户,和他正在做什么
第一行信息,内容如下:
内容 | 说明 |
---|---|
15:56:51 | 系统当前时间 |
up 9:08 | 系统的运行时间,本机已经运行9小时8分钟 |
2 users | 当前登录了两个用户 |
load average: 0.00, 0.00, 0.00 | 系统在之前1分钟、5分钟、15 分钟的平均负载。如果CPU是单核的,则这个数值超过1就是高负载;如果CPU是四核的,则这个数值超过4就是高负载(这个平均负载完全是依据个人经验来进行判断的,一般认为不应 该超过服务器CPU的核数) |
第二行信息,内容如下:
内容 | 说明 |
---|---|
USER | 当前登陆的用户 |
TTY | 登陆的终端:tty1~6本地字符终端(alt+F1-6切换);tty7:本地图形终端(ctrl+alt+F7切换,必须安装启动图形界面;pts/0-255:远程终端) |
FROM | 登陆的IP地址,如果是本地终端则是空 |
LOGIN@ | 登陆时间 |
LDLE | 用户闲置时间 |
JCPU | 所有进程占用的CPU时间 |
PCPU | 当前进程占用的CPU时间 |
WHAT | 用户正在进行的操作 |
2.who命令
who命令和w命令类似,用于查看正在登陆的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志
3. last命令
last命令是查看系统所有登陆过的用户信息的,包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp痕迹日志文件
4. lastlog命令
lastlog命令是查看系统中所有用户最后一次的登陆时间的命令,他查看的日志是/var/log/lastlog文件
5.lastb命令
lastb命令是查看错误登陆信息的,查看的是/var/log/btmp痕迹日志