查看Linux日志信息常用方法总结.docVIP

查看Linux日志信息常用方法总结 日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，我们可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。Linux系统会记录我们的每一步操作，这些文件通常保存在/var/log文件夹的文本文件里面，如果直接查看文本，那么想当的繁琐，看起来也不方便，好在linux为我们提供了很多的工具来查看这些文本文件。下面我提供以下几种方法供参考，相信会对我们有帮助的。 1.上下翻 当我们在命令行窗口里面输入了一条命令之后，Linux会记录下这条命令，那么我们也就可以通过方向键上下来获取以往的运行的命令，大大的节省了输入时间。 2.last命令 last命令显示出以往账户登录的信息，通过last user可以过滤某个用户登录的信息。 例如输入last root，显示结果如下 2.lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log /lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示\**Never logged**。注意需要以root运行该命令，结果如下 3.who命令 who命令查询/var/log/utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如，键入who命令，然后按回车键，将显示如下内容： 4.w命令 w命令查询/var/log/utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如，键入w命令，然后按回车键，将显示如下内容： 5.mutt命令 有一些执行了系统操作或者发生错误之后，系统会以邮件的形式保存起来，以便通知管理员处理，这时我们可以通过mutt查看系统执行的过程，如crontab运行的结果。例如我有这样一个执行每日编译的脚本，crontab设置为 具体运行的过程 5.结束 以上只是我平时查看日志的用到一些命令，大家还有什么技巧欢迎讨论