系統中有一些重要的痕跡日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、
/var/log/astlog等日志文件,如果你用vim打開這些文件,你會發現這些文件是二進制亂碼。這是由於這些日志中保存的是系統的重要登錄痕跡,包括某個用戶何時登錄了系統,何時退出了系統,錯誤登錄等重要的系統信息。這些信息要是可以通過vim打開,就能編輯,這樣痕跡信息就不准確,所以這些重要的痕跡日志,只能通過對應的命令來進行查看(不能修改)。
1、w命令
w命令是顯示系統中正在登陸的用戶信息的命令,這個命令查看的痕跡日志是/var/run/utmp。
(1)w命令的基本信息如下:
- 命令名稱:
w - 英文原意:
Show who is logged on and what they are doing. - 所在路徑:
/usr/bin/w - 執行權限:所有用戶。
- 功能描述:顯示燈用戶,和他正在做什么。
示例:
(2)顯示內容說明
第一行信息內容如下:
12:26:46: 系統當前時間。up 1day,5:47: 系統的運行時間,本機已經運行1天5小時47分鍾。2 users: 當前登錄了兩個用戶。load average:0.00,0.01,0.05: 系統在之前1分鍾、5分鍾、15分鍾的平均負載。如果CPU是單核的,則這個數值超過1就是高負載:如果CPU是四核的,則這個數值超過4就是高負載(這個平均負載完全是依據個人經驗來進行判斷的,一般認為不應該超過服務器CPU的核數)。
第二行信息內容如下:
USER:當前登陸的用戶。TTY:登陸的終端:
tty1-6:本地字符終端(alt+F1-6切換)
tty7:本地圖形終端(ctrl+alt+F7切換,必須安裝啟動圖形界面)
pts/0-255:遠程終端FROM:登陸的IP地址,如果是本地終端,則是空。LOGIN@:登陸時間。IDLE:用戶閑置時間。JCPU:所有的進程占用的CPU時間。PCPU:當前進程占用的CPU時間。WHAT:用戶正在進行的操作。
2、who命令
who命令和w命令類似,用於查看正在登陸的用戶,但是顯示的內容更加簡單。等同於是查看
/var/run/utmp日志文件。
[root@localhost ~]# who
root tty1 2018-11-12 23:59
root pts/2 2018-11-12 23:42(192.168.252.1)
#用戶名 #登陸終端 # 登陸時間 #(來源IP)
3、last命令
last命令是查看系統所有登陸過的用戶信息的,包括正在登陸的用戶和之前登陸的用戶。
這個命令查看的是/var/log/wtmp痕跡日志文件。該命令查看的是一個重要的系統痕跡日志,包括重啟時間都會有記錄。
如下圖所示:
4、lastlog命令
lastlog命令是查看系統中所有用戶最后一次的登陸時間的命令,他查看的日志是/Nar/log/lastlog文件。
如下圖所示:
Linux系統自動創建的用戶是重要的系統用戶,一般也稱之為偽用戶。
為什么稱之為偽用戶,因為這些用戶是不能用於登陸的。
這些用戶也不能刪除,這些用戶是用來啟動Linux系統中對應的服務和程序的。如果把這些用戶刪除了,與之對應的服務就無法啟動,有可能導致無法開機。
如下圖所示:
5、lastb命令
lastb命令是查看錯誤登陸的信息的(如密碼輸入錯誤沒有登陸成功等),查看的是/var/log/btmp痕跡日志。
如下圖所示:
