1.1对某linux服务器登录连接日志分析
1.1.1Linux记录用户登录信息文件
Linux操作系统登录连接连接日志文件有var/log/wtmp、/var/log/btmp和/var/run/utmp,这三个文件均为二进制文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体,它们无法通过编辑器直接查看其详细内容,通过notepad等工具可以查看部分内容。
1./var/run/utmp
utmp记录当前正在登录系统的用户信息
2/var/log/wtmp
wtmp记录当前正在登录和历史登录系统的用户信息,数据交换、关机和重起也记录在wtmp文件中,使用命令last和lastb命令读取,最后一次登录文件可以用lastlog命令。
3./var/log/btmp
btmp记录失败的登录尝试信息,一般使用lastb命令读取,也可以使用last命令查看last -f /var/log/btmp。
1.1.2.last/lastb命令查看用户登录信息
1.主要功能
列出当前与过去登录系统的用户相关信息。单独执行last命令,它会读取默认日志/var/log/wtmp文件,并把该文件内容记录的登录系统的用户名单全部显示出来,可以指定账号名称或是终端编号,让last命令仅列出指定范围的清单,lastb跟last命令功能一样,不过单独执行lastb指令,它会读取位于/var/log/btmp的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。最常用的last命令,如图1所示。
对某linux服务器登录连接日志分析
最新推荐文章于 2024-06-20 08:42:53 发布