用户行为及日志管理.pptVIP

第5章用户行为及日志管理w命令格式：w用户名功能：显示当前主机中已登陆的所有用户，以及用户当前所执行的命令。当w命令指定用户名为参数，显示该用户在系统中的登录信息。举例：#w2:50pmup2min，4users，loadaverage:0.22，0.16，0.06USERTTYFROMLOGIN@IDLEJCPUPCPUWHATw命令的显示项目按以下顺序排列：当前时间，系统启动到现在的时间，登录用户的数目，系统在最近1秒、5秒和15秒的平均负载。然后是每个用户的各项数据，项目显示顺序如下：登录帐号、终端名称、远程主机名、登录时间、空闲时间、JCPU、PCPU、当前正在运行进程的命令行。who命令格式：who[选项]功能：查看当前已登录的所有用户。选项： -m显示当前用户的用户名。H显示用户的详细信息。举例：#wholast命令01格式：last[用户名]功能：查看曾经登录系统的用户举例：#last#last|more#lasthong02桌面环境下点击：“主菜单|系统工具|系统日志”01系统日志文件都保存于/var/log目录中02系统日志管理重要的日志文件boot.log 记录系统引导的相关信息cron 记录cron调度的执行情况dmesg 记录内核启动时的信息，主要包括硬件和文件系统的启动信息maillog 记录邮件服务器的相关信息spooler 记录新闻服务器的相关信息rpmpkgs 记录已安装的RPM软件包信息secure 记录系统安全信息messages 记录系统运行过程的相关信息，包括I/O、网络等XFree86.0.log 记录图形化用户界面的XFree86服务器的相关信息标准消息格式每行记录一条单独的日志消息每条消息依次包含下列内容：事件的时间戳事件发生源系统的主机名产生日志消息的程序名消息文本格式：whatis[关键词]...功能：查询程序描述数据库并返回对该程序的一行描述文本举例：#whatiscron#whatiscrondaemonwhatis命令syslogd与klogd守护进程程序可以通过syslog函数写入日志，而syslogd守护进程会监控程序提交的消息并对其进行处理内核提交的消息由klogd（内核日志守护进程）监控并处理日志的写入统一在syslog.conf文件中配置syslogd和klogd进程会在初始化脚本/etc/rc.d/init.d中启动0102syslog.conf文件用来确定syslogd和klogd输出日志的位置syslog.conf的每一行包括：选择器（selector），用来表明记录哪些消息动作（action），用于指定匹配消息的输出目的，通常是要写入消息的文件名，或应该显示该消息的机器的用户名配置系统日志选择器的组成设备（facility），生成消息的程序类别优先级（priority），事件的严重程度调用syslog函数时需要程序指定程序类别和事件的优先级【例】 /var/log/messages配置系统日志p75表5-2syslog.conf文件中的设备码字010102p76表5-3syslog.conf使用的消息优先级02配置系统日志写入消息到远程日志文件，要在动作中使用@符号，如“@incline.xyz”写入消息到指定终端，可以为从/dev/tty1到/dev/tty6的标准终端名，也可以是控制台设备/dev/console动作包括：写入消息到指定用户列表中当前已登录用户的计算机屏幕，如输出到“rootlsnow”写入消息到文件配置系统日志21星号*用作设备（优先级）时可以匹配所有设备（优先级），如*.emerg多个选择器可以在同一行，以分号分隔星号*用作动作时意味着发送到所有登录用户设备和优先级以句点分隔可指定多个设备或优先级，之间用逗号分隔，如uucp,news.crit435配置文件语法关键字none用来屏蔽来自指定设备的消息，如*.info;mail.none指定的优先级或更高优先级的消息都被包含，如*.info也包含notice、warning和更改级别的消息可以指定多个动作输出消息到多个位置，如.crit /dev/console,@logging_hostsyslog.conf文件中各配置行独立运作，互不影响配置文件语法