linux下查询用户登录记录的命令与对应查找文件

last /var/log/wtmp 所有成功登录/登出的历史记录 可以指定查看某个文件 如last -f /var/run/utmp
lastb /var/log/btmp 登录失败尝试
lastlog /var/log/lastlog 最近登录记录

who 默认没有指定FILE参数时，who查询的是utmp的内容，当然可以指定FILE参数，比如who -aH /var/log/wtmp,则此时查看的是wtmp文件。

w 用户登录信息来自/var/run/utmp，进程信息来自/proc/.
users 如果未指定FILE参数则默认读取的是/var/run/utmp，当然也可以指定通用相关文件/var/log/wtmp，此时输出的就不是当前用户了。
utmpdump 用于转储二进制日志文件到文本格式的文件以便查看，同时也可以修改二进制文件，包括/var/run/utmp、/var/log/wtmp、/var/log/btmp。语法为：utmpdump [options] [filename]。修改文件实际就可以抹除系统记录，所以一定要设置好权限，防止非法入侵。

utmpdump /var/log/utmp > tmp_output.txt #导出文件信息

utmpdump -r tmp_output.txt > /var/log/utmp #导入到源文件中
ac 根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时）
wted wtmp/utmp日志编辑程序。你可以使用这个工具编辑所有wtmp或者utmp类型的文件
z2 utmp/wtmp/lastlog日志清理工具。可以删除utmp/wtmp/lastlog日志文件中有关某个用户名的所有条目。不过，如果用于Linux系统需要手工修改其源代码，设置日志文件的位置。
/var/log/syslog 或 /var/log/messages 存储所有的全局系统活动数据，包括开机信息。基于 Debian 的系统如 Ubuntu 在 /var/log/syslog 中存储它们，而基于 RedHat 的系统如 RHEL 或 CentOS 则在 /var/log/messages 中存储它们。
/var/log/auth.log 或 /var/log/secure 存储来自可插拔认证模块(PAM)的日志，包括成功的登录，失败的登录尝试和认证方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存储认证信息，而 RedHat 和 CentOS 则在 /var/log/secure 中存储该信息。