『學了就忘』Linux基礎命令 — 36、查看系統痕迹相關命令

目錄

系統中有一些重要的痕迹日誌文件,如/var/log/wtmp/var/run/utmp/var/log/btmp
/var/log/astlog等日誌文件,如果你用vim打開這些文件,你會發現這些文件是二進位亂碼。這是由於這些日誌中保存的是系統的重要登錄痕迹,包括某個用戶何時登錄了系統,何時退出了系統,錯誤登錄等重要的系統資訊。這些資訊要是可以通過vim打開,就能編輯,這樣痕迹資訊就不準確,所以這些重要的痕迹日誌,只能通過對應的命令來進行查看(不能修改)。

1、w命令

w命令是顯示系統中正在登陸的用戶資訊的命令,這個命令查看的痕迹日誌是/var/run/utmp

(1)w命令的基本資訊如下:

  • 命令名稱:w
  • 英文原意:Show who is logged on and what they are doing.
  • 所在路徑:/usr/bin/w
  • 執行許可權:所有用戶。
  • 功能描述:顯示燈用戶,和他正在做什麼。

示例:

image

(2)顯示內容說明

第一行資訊內容如下:

  • 12:26:46 : 系統當前時間。
  • up 1day,5:47 : 系統的運行時間,本機已經運行1天5小時47分鐘。
  • 2 users : 當前登錄了兩個用戶。
  • load average:0.00,0.01,0.05 : 系統在之前1分鐘、5分鐘、15分鐘的平均負載。如果CPU是單核的,則這個數值超過1就是高負載:如果CPU是四核的,則這個數值超過4就是高負載(這個平均負載完全是依據個人經驗來進行判斷的,一般認為不應該超過伺服器CPU的核數)。

第二行資訊內容如下:

  • USER:當前登陸的用戶。
  • TTY:登陸的終端:
    tty1-6:本地字元終端(alt+F1-6切換)
    tty7:本地圖形終端(ctrl+alt+F7切換,必須安裝啟動圖形介面)
    pts/0-255:遠程終端
  • FROM:登陸的IP地址,如果是本地終端,則是空。
  • LOGIN@:登陸時間。
  • IDLE:用戶閑置時間。
  • JCPU:所有的進程佔用的CPU時間。
  • PCPU:當前進程佔用的CPU時間。
  • WHAT:用戶正在進行的操作。

2、who命令

who命令和w命令類似,用於查看正在登陸的用戶,但是顯示的內容更加簡單。等同於是查看
/var/run/utmp日誌文件。

[root@localhost ~]# who
root tty1 2018-11-12 23:59
root pts/2 2018-11-12 23:42(192.168.252.1)
#用戶名 #登陸終端 # 登陸時間 #(來源IP)

3、last命令

last命令是查看系統所有登陸過的用戶資訊的,包括正在登陸的用戶和之前登陸的用戶。

這個命令查看的是/var/log/wtmp痕迹日誌文件。該命令查看的是一個重要的系統痕迹日誌,包括重啟時間都會有記錄。

如下圖所示:

image

4、lastlog命令

lastlog命令是查看系統中所有用戶最後一次的登陸時間的命令,他查看的日誌是/Nar/log/lastlog文件。

如下圖所示:

image

Linux系統自動創建的用戶是重要的系統用戶,一般也稱之為偽用戶。

為什麼稱之為偽用戶,因為這些用戶是不能用於登陸的。

這些用戶也不能刪除,這些用戶是用來啟動Linux系統中對應的服務和程式的。如果把這些用戶刪除了,與之對應的服務就無法啟動,有可能導致無法開機。

如下圖所示:

image

5、lastb命令

lastb命令是查看錯誤登陸的資訊的(如密碼輸入錯誤沒有登陸成功等),查看的是/var/log/btmp痕迹日誌。

如下圖所示:

image

Tags:

VirMach 便宜 VPS

QNews

QNews