系統中有一些重要的痕跡日誌文件,如/var/log/wtmp
、/var/run/utmp
、/var/log/btmp
、
/var/log/astlog
等日誌文件,如果你用vim打開這些文件,你會發現這些文件是二進制亂碼。這是由於這些日誌中保存的是系統的重要登錄痕跡,包括某個用戶何時登錄了系統,何時退出了系統,錯誤登錄等重要的系統信息。這些信息要是可以通過vim打開,就能編輯,這樣痕跡信息就不準確,所以這些重要的痕跡日誌,只能通過對應的命令來進行查看(不能修改)。
1、w命令
w命令是顯示系統中正在登陸的用戶信息的命令,這個命令查看的痕跡日誌是/var/run/utmp
。
(1)這個命令的基本信息如下:
- 命令名稱:w
- 英文原意:Show who is logged on and what they are doing.
- 所在路徑:/usr/bin/w
- 執行權限:所有用戶。
- 功能描述:顯示燈用戶,和他正在做什麼。
例如:
(2)第一行信息
內容如下:
- 12:26:46 : 系統當前時間。
- up 1day,13:32 : 系統的運行時間,本機已經運行1天13小時32分鐘。
- 2 users : 當前登錄了兩個用戶。
- load average:0.00,0.00,0.00 : 系統在之前1分鐘、5分鐘、15分鐘的平均負載。如果CPU是單核的,則這個數值超過1就是高負載:如果CPU是四核的,則這個數值超過4就是高負載(這個平均負載完全是依據個人經驗來進行判斷的,一般認爲不應該超過服務器CPU的核數)。
(3)第二行信息
內容如下:
- USER:當前登陸的用戶。
- TTY:登陸的終端:
tty1-6:本地字符終端(alt+F1-6切換)
tty7:本地圖形終端(ctrl+alt+F7切換,必須安裝啓動圖形界面)
pts/0-255:遠程終端 - FROM:登陸的IP地址,如果是本地終端,則是空。
- LOGIN@:登陸時間。
- IDLE:用戶閒置時間。
- JCPU:所有的進程佔用的CPU時間。
- PCPU:當前進程佔用的CPU時間。
- WHAT:用戶正在進行的操作。
2、who命令
who命令和w命令類似,用於查看正在登陸的用戶,但是顯示的內容更加簡單,也是查看
/var/run/utmp
日誌。
[root@localhost ~ ] # who
root tty1 2018-11-12 23:59
root pts/2 2018-11-12 23:42(192.168.252.1)
#用戶名 #登陸終端 # 登陸時間 #(來源IP)
3、last命令
last命令是查看系統所有登陸過的用戶信息的,包括正在登陸的用戶和之前登陸的用戶。這個命令查看的是/var/log/wtmp
痕跡日誌文件。(該命令查看的是一個重要的系統痕跡日誌,包括重啓時間都會有記錄。)
4、lastlog命令
lastlog命令是查看系統中所有用戶最後一次的登陸時間的命令,他查看的日誌是/Nar/log/lastlog
文件。
Linux系統自動創建的用戶是重要的系統用戶,一般也稱之爲僞用戶。
爲什麼稱之爲僞用戶,因爲這些用戶是不能用於登陸的。
這些用戶也不能刪除,這些用戶是用來啓動Linux系統中對應的服務和程序的。如果把這些用戶刪除了,與之對應的服務就無法啓動,有可能導致無法開機。
5、lastb命令
lastb命令是查看錯誤登陸的信息的(如密碼輸入錯誤沒有登陸成功等),查看的是/var/log/btmp
痕跡日誌: