/var/log/auth.log

這是一個文本文件，記錄了所有和用戶認證相關的日志。無論是我們通過 ssh 登錄，還是通過 sudo 執行命令都會在 auth.log 中產生記錄。執行

$ ssh nick@myserver

上圖顯示日志記錄了通過秘鑰認證的方式登錄主機並退出的過程。

再執行下面的命令試試：

$ sudo vim /var/log/auth.log

日志同樣會詳細的記錄本次 sudo 操作的過程。從中我們可以看到是哪個用戶通過 sudo 執行了什么命令！

/var/run/utmp

這是一個二進制文件，所以不能直接通過文本編輯器查看其內容。
它記錄當前登錄的每個用戶的信息。因此這個文件會隨着用戶登錄和注銷系統而不斷變化，它只保留當時聯機的用戶記錄，不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序，如 who、w、users 等就需要訪問這個文件。

/var/log/wtmp

這是一個二進制文件，所以不能直接通過文本編輯器查看其內容。
該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨着系統正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決於系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄，last 命令就通過訪問這個文件獲得這些信息。

/var/log/btmp

這是一個二進制文件，所以不能直接通過文本編輯器查看其內容。
這個文件記錄的是所有失敗的登錄嘗試，使用 last 命令及其 -f 選項可以查看這個文件的內容：

$ sudo last -f /var/log/btmp

/var/log/lastlog

這是一個二進制文件，所以不能直接通過文本編輯器查看其內容。
它會記錄系統中所有用戶最近一次登陸的信息。比如我們通過 ssh 登錄時提示的此用戶最后一次的登錄時間，就是從這個文件中取出的：

其實這個文件的主要使用者是 lastlog 命令。

特別是 /var/run/utmp、/var/log/wtmp 和 /var/log/lastlog 這三個文件，它們都是日志系統中的關鍵文件，並且具有如下的邏輯聯系：
當一個用戶登錄系統時，login 程序在 lastlog 文件中查看用戶的 UID。如果該用戶存在，就把該用戶上次登錄、注銷的時間以及從哪個主機登錄的信息寫到標准輸出中。然后 login 程序在 lastlog 中記錄新的登錄時間，並打開 utmp 文件添加用戶本次的登錄記錄。接下來，login 程序打開 wtmp 文件並添加用戶在 utmp 文件中的記錄。當用戶退出時會把更新的 utmp 文件中的記錄添加到 wtmp 文件中，並從 utmp 文件中刪除用戶的記錄。

我們可以看到除了 auth.log 文件，其它幾個文件都是二進制文件，因而不能使用 less 之類的命令直接查看。下面我們來介紹和登錄相關的一些命令，其實它們幾乎都是通過查詢這些日志文件來提供信息的。