1)查看日志文件
linux查看日志文件内容命令tail、cat、tac、head,sed,grep,more
cat主要有三大功能:
1.一次显示整个文件。$ cat filename
2.从键盘创建一个文件。$ cat > filename 只能创建新文件,不能编辑已有文件.
3.将几个文件合并为一个文件: $cat file1 file2 > file
tail -n 1000:显示最后1000行 -c表示显示字节
tail -n +1000:从1000行开始显示,显示1000行以后的
head -n 1000:显示前面1000行
tac (反向列示)
tac 是将 cat 反写过来,所以他的功能就跟 cat 相反, cat 是由第一行到最后一行连续显示在萤幕上,
而 tac 则是由最后一行到第一行反向在萤幕上显示出来!
用sed命令:sed -n '5,10p' filename 可以只查看文件的第5行到第10行
2)查看系统用户日志
连接时间日志--由多个程序执行,把系统用户记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计-----由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志-----由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。
像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
access-log 记录HTTP/web的传输
acct/pacct 记录用户命令
aculog 记录MODEM的活动
btmp 记录失败的纪录
lastlog 记录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的链接到syslog文件)系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
sudolog 记录使用sudo发出的命令
sulog 记录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
utmp 记录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 记录FTP会话
/var/log/secure与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机
ac -p (回车)显示每个用户的总的连接时间
ac -d(回车)显示每天的总的连结时间
users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。
w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。
lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日 志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显 示"**Never logged**。注意需要以root运行该命令
lastlog -t 7表示最近一周的访问记录