linux查看系统登录⽇志命令,linux系统查看⽤户通过ssh登录⽇
linux下登录
各种⽇志⽂件类型
access-log 纪录HTTP/web的传输
acct/pacct 纪录⽤户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近⼏次成功登录的事件和最后⼀次不成功的登录
messages 从syslog中记录信息(有的链接到syslog⽂件)
sudolog 纪录使⽤sudo发出的命令
sulog 纪录使⽤su命令的使⽤
syslog 从syslog中记录信息(通常链接到messages⽂件)
utmp 纪录当前登录的每个⽤户
wtmp ⼀个⽤户每次登录进⼊和退出时间的永久纪录
xferlog 纪录FTP会话
utmp、 wtmp和lastlog⽇志⽂件是多数重⽤UNIX⽇志⼦系统的关键–保持⽤户登录进⼊和退出的纪录。有关当前登录⽤户的信息记录在⽂件utmp中;登录进⼊和退出纪录在⽂件wtmp中;最后⼀次登录⽂件可以⽤lastlog命令察看。数据交换、关机和重起也记录在wtmp⽂件中。所有的纪录都包含时间戳。这些⽂件(lastlog通常不⼤)在具有⼤量⽤户的系统中增长⼗分迅速。例如wtmp⽂件可以⽆限增长,除⾮定期截取。许多系统以⼀天或者⼀周为单位把wtmp配置成循环使⽤。它通常由cron运⾏的脚本来修改。这些脚本重新命名并循环使⽤wtmp ⽂件。通常,wtmp在第⼀天结束后命名为 wtmp.1;第⼆天后wtmp.1变为wtmp.2等等,直到wtmp. 7。
每次有⼀个⽤户登录时,login程序在⽂件 lastlog中察看⽤户的UID。如果到了,则把⽤户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog
纪录写⼊后,utmp⽂件打开并插⼊⽤户的utmp纪录。该纪录⼀直⽤到⽤户登录退出时删除。utmp⽂件被各种命令⽂件使⽤,包括who、w、users和finger。
下⼀步,login程序打开⽂件wtmp附加⽤户的utmp纪录。当⽤户登录退出时,具有更新时间戳的同⼀utmp纪录附加到⽂件中。wtmp⽂件被程序last和ac使⽤。
2. 具体命令
wtmp和utmp⽂件都是⼆进制⽂件,他们不能被诸如tail命令剪贴或合并(使⽤cat命令)。⽤户需要使⽤who、w、users、last和ac来使⽤这两个⽂件包含的信息。
who:who命令查询utmp⽂件并报告当前登录的每个⽤户。Who的缺省输出包括⽤户名、终端类型、登录⽇期及远程主机。
linux查看⽇志:
# cd /var/log
# less secure
或者
# less messages
CentOS的⽤户登录记录存放在/var/log下,分别是:
1.登录成功的记录(Last Logged In Users),位置:/var/log/wtmp 通过命令last可以查看记录列表
[root@vps ~]# last
2.登录失败的记录(Bad Login Attemps Log),位置:/var/log/btmp 通过命令lastb可以查看记录列表
[root@vps ~]# lastb
linux用户系统相关命令清空登录历史记录:
[root@vps ~]# > /var/log/wtmp

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。