对某linux服务器登录连接日志分析

1.1对某linux服务器登录连接日志分析
1.1.1Linux记录用户登录信息文件
Linux操作系统登录连接连接日志文件有var/log/wtmp、/var/log/btmp和/var/run/utmp，这三个文件均为二进制文件，并且三个文件结构完全相同，是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体，它们无法通过编辑器直接查看其详细内容，通过notepad等工具可以查看部分内容。
1./var/run/utmp
utmp记录当前正在登录系统的用户信息
2/var/log/wtmp
wtmp记录当前正在登录和历史登录系统的用户信息，数据交换、关机和重起也记录在wtmp文件中，使用命令last和lastb命令读取，最后一次登录文件可以用lastlog命令。
3./var/log/btmp
btmp记录失败的登录尝试信息，一般使用lastb命令读取，也可以使用last命令查看last -f /var/log/btmp。
1.1.2.last/lastb命令查看用户登录信息
1.主要功能
列出当前与过去登录系统的用户相关信息。单独执行last命令，它会读取默认日志/var/log/wtmp文件，并把该文件内容记录的登录系统的用户名单全部显示出来，可以指定账号名称或是终端编号，让last命令仅列出指定范围的清单，lastb跟last命令功能一样，不过单独执行lastb指令，它会读取位于/var/log/btmp的文件，并把该文件内容记录的登入系统失败的用户名单，全部显示出来。最常用的last命令，如图1所示。