退出日志查看命令_linux 系统痕迹命令(详细总结)

退出日志查看命令_linux 系统痕迹命令(详细总结)_第1张图片

系统中有一些重要的痕迹日志文件,如 /var/log/wtmp/var/run/utmp/var/log/btmp/var/log/lastlog

等日志文件,如果你用 vim 打开这些日志文件,你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录的系统,何时退出了系统,错误登录等重要的系统信息。这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志,只能通过对应的命令来查看。

1、w 命令

w 命令是显示系统中正在登录的用户信息的命令,这个命令查看的痕迹日志是 /var/run/utmp
[root@hepingfly bin]# w
#系统时间    # 持续开机时间  #登录用户   #系统在 1 分钟,5 分钟,15 分钟前的平均负载
 00:21:28 up 18 min,  2 users,  load average: 0.46, 0.24, 0.17
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     :0               00:03   18:14   2.77s  2.77s /usr/bin/Xorg :0 -br -verbose -audit 4 -auth /var/run/gdm/auth-for-gdm-vzfS4H/database -
root     pts/0    :0.0             00:17    0.00s  0.05s  0.04s w

第一行信息内容如下:

退出日志查看命令_linux 系统痕迹命令(详细总结)_第2张图片

第二行信息内容如下:

退出日志查看命令_linux 系统痕迹命令(详细总结)_第3张图片

2、who 命令

who 命令 和 w 命令类似,用于查看正在登录的用户,但是显示的内容更加简单,也是查看 /var/run/utmp 的日志

[root@hepingfly bin]# who
root     tty1         2019-02-28 00:03 (:0)
root     pts/0        2019-02-28 00:17 (:0.0)
#用户名    #登录终端      登录时间(来源 ip)

3、last 命令

last 命令是查看系统所有登录过的用户信息,包括正在登录的用户和之前登录过的用户。这个命令查看的是 /var/log/wtmp 痕迹日志文件

[root@hepingfly bin]# last
root     pts/0        :0.0             Thu Feb 28 00:17   still logged in   
root     tty1         :0               Thu Feb 28 00:03   still logged in   
reboot   system boot  2.6.32-642.el6.x Thu Feb 28 00:03 - 00:52  (00:49)  
#用户名    #终端号      #来源 IP 地址			#登录时间			# 退出时间

4、lastlog 命令

lastlog 命令是查看系统中所有用户最后一次的登录时间的命令,他查看的日志是 /var/log/lastlog 文件

5、lastb 命令

lastb 是查看错误登录信息的,查看的是 /var/log/btmp 痕迹日志

[root@hepingfly bin]# lastb
hepingfl tty1         :0               Wed Feb 27 02:16 - 02:16  (00:00)    
hepingfl tty1         :0               Sat Feb 23 18:50 - 18:50  (00:00)    

btmp begins Sat Feb 23 18:50:09 2019
# 错误登录用户    # 终端       #尝试登录时间

你可能感兴趣的:(退出日志查看命令)