14.查看系统日志命令.pdfVIP

14.查看系统日志命令 lliinnuuxx系系统统中中有有很很多多重重要要的的日日志志文文件件，，这这些些文文件件可可以以保保存存很很多多访访问问lliinnuuxx的的日日志志记记录录，， 比比如如 录录者者的的信信息息及及他他们们的的行行为为，，那那些些用用户户正正在在 陆陆，，所所有有 陆陆过过的的用用户户信信息息，，系系统统中中 所所有有用用户户最最后后一一次次的的 陆陆时时间间，，错错误误 陆陆的的信信息息等等等等，，我我们们可可以以通通过过这这些些 日日志志了了解解用用户户 都都做做了了些些什什么么，，有有没没的的黑黑客客攻攻击击等等等等。。这这些些 日日志志大大多多存存放放在在//vvaarr//lloogg 目目录录下下和和//rruunn 目目 录录下下，，但但是是这这些些 日日志志中中，，有有些些并并不不是是能能够够用用ccaatt，，vvii，，mmoorree这这些些命命令令能能够够打打开开的的，， 要要查查看看需需要要用用到到一一下下特特殊殊的的命命令令：： 11..ww命命令令 作作用用：： w命令 –用来查看 录者的信息及他们的行为。 使使用用：： [root@localhost ~]## ww 显显示示内内容容说说明明：： 第第一一行行：：系系统统当当前前时时间间 系系统统的的运运行行时时间间 当当前前 录录用用户户数数 系系统统在在之之前前 11 分分 钟钟、、55 分分钟钟、、1155 分分钟钟的的平平均均负负载载 User： 录用户名 TTY： 录后系统分配的终端号 From：远程主机名，即从哪 录的 login@：何时 录 IDLE：用户空闲时间。这是个计时器，一旦用户执行任何操作，改计时器就会被重置。 JCPU：和终端连接的所有进程 占用时间。包括当前正在运行的后台作业 占用时间 PCPU：当前进程所占用时间 WHAT：当前正在运行进程的命令行 22..wwhhoo 命命令令 作作用用：： who 命令显示关于当前在本地系统上的所有用户的信息。 显示以下内容： 录名、tty、 录 日期和时间。 输入whoami 显示自己的 录名、tty、您 录的日期和时间。 如果用户是从一个远程机器 录的，那么该机器的主机名也会被显示出来。 使使用用：： [root@localhost ~]# who 33..llaasstt命命令令 作作用用：： last作用是显示近期用户或终端的 录情况。通过last命令查看该程序的log，管理员可以 获知谁曾经或者企图连接系统。 使使用用：： 指定显示记录的数量 （显示记录中最后 录的数量） # last -n 10 显显示示内内容容：： 第一列：用户名 第二列：终端位置 （pts/0伪终端，意味着从SSH或telnet等工具远程连接的用户，图形界 面终端归于此类。tty0直接连接到计算机或本地连接的用户。后面的数字代表连接编号） 第三列： 录IP或内核 （如果是：0.0或者什么都没有，意味着用户通过本地终端连接。除 了重启活动，内核版本会显示在状态中） 第四列：开始时间 第五列：结束时间 （still login in尚未退出，down直到正常关机，crash直到强制关机） 第六列：持续时间 44．．llaassttlloogg 命命令令 功功能能：： 检查最后一次 录本系统的用户 录的时间信息 显显示示：： #用户名 终端 来源 IP 陆时间 使使用用：： # lastlog 55..llaassttbb 命命令令 功功能能：： lastb 命令是查看错误 陆的信息的，查看的是/var/log/btmp 使使用用：： # lastb 显显示示：： #错误 陆用户 终端 尝试 陆的时间