RedHat系统常用的日志文件详解三

last命令

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
* E, d1 H. N, z, ]) M+ n' }3 i) |

QUOTE:
) b# f4 d. B* g

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) 5 R' ]: Q) B( F+ Z( i

cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) , {2 }, X3 i% j" |: U% F/ }/ Y
2 V4 ^6 E8 W# f: E$ W$ W- l
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) 2 s6 z5 h# V) @
  _- `7 l9 U" j- L5 T1 v$ v. B
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) * A" s5 }! O- G# l4 B

% A7 e! Z! F: Y# F( S5 c
  如果指明了用户,那么last只报告该用户的近期活动,例如,键入last ynguo命令,然后按回车键,将显示如下内容:

, C7 g# ~* D- c) A
QUOTE: : M4 U: k* V0 V+ P3 D
6 v0 X1 j4 J3 S& t/ m! N

ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30) ' }1 J6 o+ s  b; m% S* i  c

ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
* `( q/ h9 d1 g
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25) 6 m+ p  b! U6 x8 I+ L  q! |: ~& Y1 Q
8 ]! o4 e8 W" I% e  T+ R
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
4 z1 A  A+ C; P/ O4 [% L7 I5 Y
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
$ _4 T/ V& f  y/ B' [

  ac命令
0 d) S0 a0 u- d7 Z% L- V
5 z% g; Z/ i2 [) [0 Y
  ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间(小时),如果不使用标志,则报告总的时间。例如,键入ac命令,然后按回车键,将显示如下内容: ; {; Z9 }: f/ e


QUOTE:

  total 5177.47 ( @# D& P3 n# s

键入ac -d命令,然后按回车键,将显示每天的总的连接时间:
& f: X0 [) u6 a# o% F( V0 x. l' \

QUOTE:
1 o5 \' P6 ?0 R( J" _
6 H; X$ `+ W2 a3 g, ~  ]' `& X
Aug 12 total 261.87
, `8 p7 Y; f8 k4 m
Aug 13 total 351.39
! x) j0 }  e9 Y0 Q. @  Y: c1 O4 B: q
Aug 14 total 396.09 . k, F) M' |: t# n1 z: l6 [+ t* N

Aug 15 total 462.63 + D1 o  P  R, G" h: c0 J4 i" r
' A1 c4 r+ O" S. T# [% y- Q/ k
Aug 16 total 270.45 ' o1 l. _6 p6 [0 h+ T0 Z/ k

Aug 17 total 104.29 + m; Y4 c( x" E$ T' r# s
3 t5 s  z2 p5 @1 {" I* m
Today total 179.02

键入ac -p命令,然后按回车键,将显示每个用户的总的连接时间: 6 N8 n/ a* B* a
5 y: f! Y  G& P' k# j
1 s* K# U$ D' z3 L) Q
QUOTE: ; y' W- ~) C8 X- E" p' |9 i5 e

' Y% n8 w5 A, g# |8 w  @/ l: y
ynguo 193.23
8 N- C) q* z& X8 d2 `
yucao 3.35

rong 133.40
, ^' y0 ?" D3 R
hdai 10.52 , w( x% h- i- I% C. r
. C2 B) r$ N, T  d- g, L
zjzhu 52.87

zqzhou 13.14 & R. a- o8 B5 x* T2 [
( g: P. d! A2 n3 i6 i7 e. ?6 o
liangliu 24.34 6 O3 y- b0 d" P7 ~0 P6 h4 u$ Y1 Z
3 g; E3 C$ L: G. a: Q
total 5178.24 # `4 d' h5 j6 S/ f4 _2 F1 t% y
! r4 H9 b% Y" |' }

  lastlog命令

6 _' K8 M% Q" N
  lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示 **Never logged**。注意需要以root身份运行该命令,例如: 0 F% C0 U6 B% P% J, I, k

QUOTE: 8 V& \* K* b/ k  u/ p- O- H' u7 Q
1 p9 V3 }3 q0 R+ r( v& T* m
9 g; x! v3 Z6 q( M3 a( M; I
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 : w& m5 ^; k3 X8 s; F  w

dbb **Never logged in**
8 g1 H1 I7 e$ X0 ?
xinchen **Never logged in** 3 T7 a8 q! T& r: A

pb9511 **Never logged in**

xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000 6 \1 j4 k! j  U6 c

; N" M- b+ I6 f  a" w
另外,可加一些参数,例如,"last -u 102"命令将报告UID为102的用户;"last -t 7"命令表示限制为上一周的报告。 3 O# a7 x) t2 Q: K


  进程统计 ( N, i2 r2 u& N/ n
4 }# m3 ]$ I' @" q9 @/ u% N. H
* X* Q- A# ^4 [; @- k7 O
  UNIX可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它还对跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统默认不激活,它必须启动。在Linux系统中启动进程统计使用accton命令,必须用root身份来运行。accton命令的形式为:accton file,file必须事先存在。先使用touch命令创建pacct文件:touch /var/log/pacct,然后运行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令。 , Y+ P+ O) j8 @9 t" ]: H
5 G$ h& f; P, ~  c) O

  lastcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。看下面的例子: 2 t+ y/ R9 d& r$ V% z8 V


QUOTE: , ?( @, x$ p; I3 h3 T6 d2 y' }8 n) Y8 W% f* q

$ |0 o8 e) ?9 L  G& ~
crond F root ?? 0.00 secs Sun Aug 20 00:16 0 h( }  b3 b" ?+ `9 o! P% W2 @* @

promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16

promisc_check root ?? 0.01 secs Sun Aug 20 00:16 % i. \- `6 i$ |7 R5 P5 T

grep root ?? 0.02 secs Sun Aug 20 00:16

tail root ?? 0.01 secs Sun Aug 20 00:16 , p1 N# d5 {3 z6 Q/ ~! L$ M& W2 x3 M

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.01 secs Sun Aug 20 00:15 7 k! t8 w, g5 |( w- @, v. c+ Z
2 r5 `+ ^# x% Y5 V6 V& {& b4 n
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15

sh root ?? 0.01 secs Sun Aug 20 00:15

ping S root ?? 0.02 secs Sun Aug 20 00:15 9 ]6 y$ S4 H+ I8 M+ d1 L( k
) [' M4 a& T; f/ G: E( i+ ?
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
7 G, |" v5 c6 \' j
sh root ?? 0.02 secs Sun Aug 20 00:15

ping S root ?? 0.00 secs Sun Aug 20 00:15 / F9 `. o6 K; N1 f# s
9 k) k7 l- q; Z& ^
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 0 \& P* Q& K8 ^& p
# ?2 |/ s# Q# Q1 h- M0 N4 s' }
sh root ?? 0.01 secs Sun Aug 20 00:15 ! `* c$ S$ Z8 F5 x+ ?# _# l8 A

ping S root ?? 0.01 secs Sun Aug 20 00:15 % H2 g5 y" z: b& r% ^
1 v: L( H5 Q9 a$ P2 Q6 x
sh root ?? 0.02 secs Sun Aug 20 00:15   d  e, f* w; F
; }' {1 j( }. B6 [$ Y+ _# g
ping S root ?? 1.34 secs Sun Aug 20 00:15

locate root ttyp0 1.34 secs Sun Aug 20 00:15

accton S root ttyp0 0.00 secs Sun Aug 20 00:15 : |. ~4 {8 q( ?. P


  进程统计的一个问题是pacct文件可能增长得十分迅速。这时需要交互式地或经过cron机制运行sa命令来保证日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和 /var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。在默认情况下sa先读它们,然后读pacct文件,使报告能包含所有的可用信息。sa的输出有下面一些标记项。 (

你可能感兴趣的:(日志,redhat,系统,文件,详解)