4-9 Linux 中的日志分析

日志：系統(tǒng)、軟件 和 用戶操作交互信息的記錄文件。用于系統(tǒng)審核，日常故障快速定位和排錯(cuò)。

創(chuàng)新互聯(lián)公司是一家網(wǎng)站設(shè)計(jì)公司，集創(chuàng)意、互聯(lián)網(wǎng)應(yīng)用、軟件技術(shù)為一體的創(chuàng)意網(wǎng)站建設(shè)服務(wù)商，主營(yíng)產(chǎn)品：響應(yīng)式網(wǎng)站設(shè)計(jì)、成都品牌網(wǎng)站建設(shè)、成都全網(wǎng)營(yíng)銷(xiāo)推廣。我們專(zhuān)注企業(yè)品牌在網(wǎng)站中的整體樹(shù)立，網(wǎng)絡(luò)互動(dòng)的體驗(yàn)，以及在手機(jī)等移動(dòng)端的優(yōu)質(zhì)呈現(xiàn)。成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、移動(dòng)互聯(lián)產(chǎn)品、網(wǎng)絡(luò)運(yùn)營(yíng)、VI設(shè)計(jì)、云產(chǎn)品.運(yùn)維為核心業(yè)務(wù)。為用戶提供一站式解決方案，我們深知市場(chǎng)的競(jìng)爭(zhēng)激烈，認(rèn)真對(duì)待每位客戶，為客戶提供賞析悅目的作品，網(wǎng)站的價(jià)值服務(wù)。

日志文件保存在 /var/log 和 /var/run 目錄下。在 RedHat 7 中，系統(tǒng)日志消息由兩個(gè)服務(wù)負(fù)責(zé)處理，它們是 systemd-journald 和 rsyslogd。

日志的保存時(shí)間系統(tǒng)默認(rèn)是4周，可以通過(guò) cat /etc/logrotate.conf 里面的一項(xiàng)參數(shù)查到。rotate 可以修改。

主要日志文件介紹：

/var/log/messages：系統(tǒng)日志，主要記錄內(nèi)核和公共消息。

/var/log/cron：計(jì)劃執(zhí)行任務(wù)日志。

/var/log/dmesg：系統(tǒng)引導(dǎo)日志。

/var/log/maillog：郵件日志。

/var/log/lastlog：用戶登錄日志。（用 lastlog 命令）

/var/log/boot.log：系統(tǒng)啟動(dòng)日志。

/var/log/secure：安全和身份驗(yàn)證日志 。

/var/log/wtmp：記錄所有用戶登錄的詳細(xì)信息。（用 last 命令）

/var/log/btmp：記錄失敗的登錄記錄（用 lastb 命令）

/var/run/utmp：用戶登錄、注銷(xiāo)及系統(tǒng)開(kāi)、關(guān)等事件。（用 w / who 命令）

（wtmp、btmp 和?utmp 是二進(jìn)制文件，不能用cat、vi、tail、more這些命令打開(kāi)查看）

1、/var/log/messages：系統(tǒng)日志，主要記錄內(nèi)核和公共消息。

1）、messages 信息項(xiàng)包括：事件發(fā)生的日期和時(shí)間、主機(jī)，終端名、進(jìn)程 和 事件日志。

2）、紅色下劃線：systemctl restart sshd 重啟 sshd 服務(wù)。

黃色下劃線：tail /var/log/messages 查看 messages 日志。

藍(lán)色方框：messages 日志已經(jīng)可以查到重啟 sshd 服務(wù)的記錄。

綠色下劃線：每個(gè)動(dòng)作都記錄得很清楚。暫停中（Stopping）、已暫停（Stopped）、啟動(dòng)中（Starting） 和 已啟動(dòng)（Started）

2、/var/log/cron：計(jì)劃執(zhí)行任務(wù)日志。

1）、cron 信息項(xiàng)包括：事件發(fā)生的日期和時(shí)間、主機(jī)，終端名、進(jìn)程 和 事件日志。

2）、cron 保存的是計(jì)劃任務(wù)的日志，我們也可以通過(guò)特定輸出查看計(jì)劃進(jìn)程的一些規(guī)律。從中也可以梳理一下計(jì)劃任務(wù)的概念。好像?run-parts(/etc/cron.hourly) 進(jìn)程，基本都是從開(kāi)機(jī)開(kāi)始，整點(diǎn) 1 個(gè)小時(shí)就執(zhí)行一次。一次由兩個(gè)事件為一組，一條 starting 0anacron ，另一條?finished 0anacron。

輸入 grep run-parts'('/etc/cron.hourly')' 的時(shí)候，（）括號(hào)需要用單引號(hào)引起來(lái)。?

CROND進(jìn)程，基本上也是從開(kāi)機(jī)開(kāi)始，整點(diǎn) 1 個(gè)小時(shí)就執(zhí)行一次。

run-parts(/etc/cron.daily) 進(jìn)程每天開(kāi)機(jī)執(zhí)行一次。一次由四個(gè)事件為一組，四個(gè)事件里面有兩個(gè)事件是對(duì)應(yīng)關(guān)系。starting man-db.cron 對(duì)應(yīng)?finished man-db.cron，starting logrotate 對(duì)應(yīng) finished logrotate。

從 cron 日志知道系統(tǒng)的計(jì)劃任務(wù)什么時(shí)候觸發(fā)，執(zhí)行了什么事件，產(chǎn)生了什么信息。?

3、/var/log/dmesg：系統(tǒng)引導(dǎo)日志，顯示硬件相關(guān)的信息。

head -20 dmesg | nl 列出開(kāi)頭 20 行信息。

4、/var/log/maillog：郵件日志。

紅色下劃線：tail maillog 查看 maillog 后 10 行信息。

黃色下劃線：starting the Postfix mail system 啟動(dòng) Postfix 郵件系統(tǒng)。daemon started 守護(hù)進(jìn)程啟動(dòng)完成。

maillog 記錄的信息都是和郵件有關(guān)。

5、/var/log/lastlog：記錄所有用戶登錄最后一次登錄本系統(tǒng)的時(shí)間信息。用 lastlog 讀取信息。lastlog 的幾列內(nèi)容：Username（用戶名）、Port（端口）、From（登錄IP）、Latest（最后登錄時(shí)間）。

系統(tǒng)用戶是調(diào)用系統(tǒng)當(dāng)中一些特殊服務(wù)的用戶，不能登錄系統(tǒng)（所以它們的登錄狀態(tài)都是顯示“**Never logged in**”從來(lái)沒(méi)有登錄）。能夠登錄系統(tǒng)的只有 root 和 新建的普通用戶。

6、/var/log/boot.log：系統(tǒng)啟動(dòng)日志。

head /var/log/boot.log 列出頭 10 條系統(tǒng)啟動(dòng)的信息（內(nèi)容較長(zhǎng)，里面記錄了多次啟動(dòng)的信息）。

通過(guò) 3 次的重啟，查看 boot.log 大小。每重啟一次文件的容量就會(huì)增大。也證明了每次啟動(dòng)都會(huì)往 boot.log 這個(gè)文件寫(xiě)信息。

7、/var/log/secure：安全和身份驗(yàn)證日志 。

tail secure 列出 secure 文件最后 10 行信息。通過(guò) secure 的信息可以發(fā)現(xiàn)記錄的是安全相關(guān)的信息，記錄最多的是哪些用戶登錄服務(wù)器的相關(guān)日志。

黃色下劃線：Failed password for root —— root 的密碼錯(cuò)誤。

紅色下劃線：Accepted password for root —— 密碼正確，root 用戶接受的密碼。

綠色下劃線：pam_unix(sshd:session): session opened for user root ?—— 為 root 用戶建立會(huì)話。

8、/var/log/wtmp：記錄所有用戶登錄的詳細(xì)信息。一個(gè)二進(jìn)制文件，不能用cat、vi、tail、more這些命令打開(kāi)查看。用 last 命令查看。last 作用是顯示近期用戶或終端登錄的情況（包括：登錄、注銷(xiāo)及系統(tǒng)的啟動(dòng)、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時(shí)間的增加，該文件的大小也會(huì)越來(lái)越大，）

last -n 10 —— -n 跟一個(gè)數(shù)字，指定顯示最近登錄的數(shù)據(jù)。（或者 last -10 一樣效果）

顯示的內(nèi)容有六列：

第一列：用戶名。

第二列：終端位置。（pts/0 偽終端，SSH 或 telnet 等工具遠(yuǎn)程連接的用戶，tty0 直接連接到計(jì)算機(jī)或本地連接的用戶，后面的數(shù)字代表連接編號(hào)）。

第三列：登錄 IP 或 內(nèi)核。（如果是 0.0 或者 什么都沒(méi)有，意味著用戶通過(guò)本地終端連接，除了啟動(dòng)活動(dòng)，內(nèi)核版本會(huì)顯示在狀態(tài)中）。

第四列：開(kāi)始時(shí)間。

第五列：結(jié)束時(shí)間。（still、login in 尚未推出，down 直到正常關(guān)機(jī)，crash 直到強(qiáng)制關(guān)機(jī)）。

第六列：持續(xù)時(shí)間。

9、/var/log/btmp：記錄失敗的登錄記錄，主要查看錯(cuò)誤的登錄信息。一個(gè)二進(jìn)制文件，不能用cat、vi、tail、more這些命令打開(kāi)查看。用 lastb?命令查看。

lastb -n 10 —— -n 跟一個(gè)數(shù)字，指定顯示最近登錄的數(shù)據(jù)。（或者 lastb -10 一樣效果）

顯示的內(nèi)容有六列：

第一列：用戶名。

第二列：終端位置。（連接失敗：notty）。

第三列：登錄 IP。

第四列：開(kāi)始時(shí)間。

第五列：結(jié)束時(shí)間。

第六列：持續(xù)時(shí)間。

10、/var/run/utmp：用戶登錄、注銷(xiāo)及系統(tǒng)開(kāi)、關(guān)等事件。一個(gè)二進(jìn)制文件，不能用cat、vi、tail、more這些命令打開(kāi)查看。用?w / who 命令查看。

w 命令：查看登錄者的信息及行為。

第一行：系統(tǒng)當(dāng)前時(shí)間、系統(tǒng)沒(méi)有中斷持續(xù)性的運(yùn)行時(shí)間、當(dāng)前登錄用戶數(shù)、CPU在之前 1 分鐘、5分鐘、15分鐘的平均負(fù)載。

USER： 登錄用戶名。

TTY：登錄后系統(tǒng)分配的終端號(hào)。（tty：物理機(jī)本機(jī)終端、pts：遠(yuǎn)程終端）?

FROM：遠(yuǎn)程主機(jī)名 IP。（tty 物理機(jī)本機(jī)不顯示、pts 遠(yuǎn)程終端會(huì)顯示 IP）?

LOGIN@ ：登錄時(shí)間。

IDLE：用戶閑置時(shí)間 。這是個(gè)計(jì)時(shí)器，用戶執(zhí)行任何操作，計(jì)時(shí)器就會(huì)被重置。（這里顯示的時(shí)間是距離上次命令操作后多久沒(méi)有進(jìn)行操作的閑置時(shí)間）

JCPU：執(zhí)行命令進(jìn)程所消耗的總時(shí)間。 終端連接的所有進(jìn)程占用時(shí)間，包括當(dāng)前正在運(yùn)行作業(yè)占用的時(shí)間。

PCPU：當(dāng)前進(jìn)程所消耗 CPU 的時(shí)間。?

WHAT：用戶正在運(yùn)行的進(jìn)程 或 命令。（-bash 進(jìn)程是終端進(jìn)程）

who 命令：顯示關(guān)于當(dāng)前在本地系統(tǒng)上的所有用戶信息。who 和 w 差不多，who 顯示的內(nèi)容更為簡(jiǎn)潔。who 命令顯示以下內(nèi)容：登錄名、tty、登錄日期 和 時(shí)間。如果用戶是從遠(yuǎn)程終端登錄的，那么該終端的 IP 也會(huì)顯示出來(lái)。

11、whoami：顯示自己的登錄用戶。

誰(shuí)知道LINUX下wtmp軟件的配置與使用方法。

你指的應(yīng)該是wtmp文件吧。wtmp 是個(gè)數(shù)據(jù)庫(kù)文件，記錄系統(tǒng)登錄注銷(xiāo)等信息。

查看wtmp文件可以使用vim編輯器，但是是肉眼不可讀的，所以可以使用系統(tǒng)自帶的工具進(jìn)行查看，last 工具，語(yǔ)法如下

root@ubuntu:~# last --help

last: invalid option -- '-'

Usage: last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-adioxFw] [username..] [tty..]

如果還有其他疑問(wèn)，請(qǐng)補(bǔ)充問(wèn)題

Good Luck and cockroach bless you~

理工小強(qiáng)祝你好運(yùn)~

查看和打印日志的linux命令

Linux系統(tǒng)日志文件存放在/var/log下

/var/log/cron 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志；

/var/log/cups 記錄打印信息的日志；

/var/log/dmesg 記錄了系統(tǒng)在開(kāi)機(jī)時(shí)內(nèi)核自檢的信息，也可以使用dmesg命令直接查看內(nèi)核自檢信息。

/var/log/btmp 記錄錯(cuò)誤登錄的日志，這個(gè)文件是二進(jìn)制文件，不能直接vi查看，而要使用lastb命令查看；

/var/log/lastlog 記錄系統(tǒng)中所有用戶最后一次的登錄時(shí)間的日志。這個(gè)文件也是二進(jìn)制文件，不能直接vi，而要使用lastlog命令查看。

/var/log/mailog 記錄郵件信息；

/var/log/message 記錄系統(tǒng)重要信息的日志，記錄Linux系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問(wèn)題，首先要檢查的就是應(yīng)該是這個(gè)日志文件；

/var/log/secure 記錄驗(yàn)證和授權(quán)方面的信息，只要涉及賬戶和密碼的程序都會(huì)記錄。比如說(shuō)系統(tǒng)的登錄，ssh的登錄，su切換用戶，sudo授權(quán)，甚至添加用戶和修改用戶密碼；

/var/log/wtmp 永久記錄所有用戶的登錄、注銷(xiāo)信息，同時(shí)記錄系統(tǒng)的啟動(dòng)、重啟、關(guān)機(jī)事件。同樣這個(gè)文件也是一個(gè)二進(jìn)制文件不能直接vi而需要使用last命令來(lái)查看；

/var/run/utmp 記錄當(dāng)前已經(jīng)登錄的用戶的信息。這個(gè)文件會(huì)隨著用戶的登錄和注銷(xiāo)而不斷變化，只記錄當(dāng)前登錄用戶的信息，同樣這個(gè)文件不能直接vi，要使用w，who，users等命令；

Linux系統(tǒng)日志子系統(tǒng)詳解

在Linux系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：

連接時(shí)間日志--由多個(gè)程序執(zhí)行，把紀(jì)錄寫(xiě)入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。

進(jìn)程統(tǒng)計(jì)--由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中寫(xiě)一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

錯(cuò)誤日志--由syslogd（8）執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog（3）向文件/var/log/messages報(bào)告值得注意的事件。另外有許多Unix程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

常用的日志文件如下：

Access-log紀(jì)錄HTTP/web的傳輸

acct/pacct紀(jì)錄用戶命令

aculog紀(jì)錄MODEM的活動(dòng)

btmp紀(jì)錄失敗的紀(jì)錄

lastlog 紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄

messages從syslog中記錄信息（有的鏈接到syslog文件）

sudolog 紀(jì)錄使用sudo發(fā)出的命令

sulog 紀(jì)錄使用su命令的使用

syslog從syslog中記錄信息（通常鏈接到messages文件）

utmp紀(jì)錄當(dāng)前登錄的每個(gè)用戶

wtmp一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄

xferlog 紀(jì)錄FTP會(huì)話

utmp、wtmp和lastlog日志文件是多數(shù)重用Unix日志子系統(tǒng)的關(guān)鍵--保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中；登錄進(jìn)入和退出紀(jì)錄在文件wtmp中；最后一次登錄文件可以用lastlog命令察看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。所有的紀(jì)錄都包含時(shí)間戳。這些文件（lastlog通常不大）在具有大量用戶的系統(tǒng)中增長(zhǎng)十分迅速。例如wtmp文件可以無(wú)限增長(zhǎng)，除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運(yùn)行的腳本來(lái)修改。這些腳本重新命名并循環(huán)使用wtmp文件。通常，wtmp在第一天結(jié)束后命名為wtmp.1；第二天后wtmp.1變?yōu)閣tmp.2等等，直到wtmp.7。

每次有一個(gè)用戶登錄時(shí)，login程序在文件lastlog中察看用戶的UID。如果找到了，則把用戶上次登錄、退出時(shí)間和主機(jī)名寫(xiě)到標(biāo)準(zhǔn)輸出中，然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫(xiě)入后，utmp文件打開(kāi)并插入用戶的utmp紀(jì)錄。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令文件使用，包括who、w、users和finger。

下一步，login程序打開(kāi)文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí)，具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。

具體命令

wtmp和utmp文件都是二進(jìn)制文件，他們不能被諸如tail命令剪貼或合并（使用cat命令）。用戶需要使用who、w、users、last和ac來(lái)使用這兩個(gè)文件包含的信息。

who：who命令查詢(xún)utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類(lèi)型、登錄日期及遠(yuǎn)程主機(jī)。例如：who（回車(chē)）顯示

chyangpts/0 Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

yloupts/8 Aug 18 14:15

如果指明了wtmp文件名，則who命令查詢(xún)所有以前的紀(jì)錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來(lái)的每一次登錄。

w：w命令查詢(xún)utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息。例如：w（回車(chē)）顯示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash

users：users用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名將顯示相同的次數(shù)。例如：users（回車(chē)）顯示：chyang lewis lewis ylou ynguo ynguo

last：last命令往回搜索wtmp來(lái)顯示自從文件第一次創(chuàng)建以來(lái)登錄過(guò)的用戶。例如：

chyang pts/9202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)

cfan pts/6202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)

chyang pts/4202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)

lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

如果指明了用戶，那么last只報(bào)告該用戶的近期活動(dòng)，例如：last ynguo（回車(chē)）顯示：

ynguopts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)

ynguopts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)

ynguopts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

ynguopts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)

ynguopts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

ynguopts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)

ynguopts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

ac：ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的.登錄進(jìn)入和退出來(lái)報(bào)告用戶連結(jié)的時(shí)間（小時(shí)），如果不使用標(biāo)志，則報(bào)告總的時(shí)間。例如：ac（回車(chē)）顯示：total 5177.47

Linux查看系統(tǒng)日志的一些常用命令

last

-a 把從何處登入系統(tǒng)的主機(jī)名稱(chēng)或ip地址，顯示在最后一行。

-d 指定記錄文件。指定記錄文件。將IP地址轉(zhuǎn)換成主機(jī)名稱(chēng)。

-f 記錄文件 指定記錄文件。

-n 顯示列數(shù)或-顯示列數(shù) 設(shè)置列出名單的顯示列數(shù)。

-R 不顯示登入系統(tǒng)的主機(jī)名稱(chēng)或IP地址。

-x 顯示系統(tǒng)關(guān)機(jī)，重新開(kāi)機(jī)，以及執(zhí)行等級(jí)的改變等信息

以下看所有的重啟、關(guān)機(jī)記錄

last | grep reboot

last | grep shutdown

history

列出所有的歷史記錄：

[zzs@Linux] # history

只列出最近10條記錄：

[zzs@linux] # history 10 (注,history和10中間有空格)

使用命令記錄號(hào)碼執(zhí)行命令,執(zhí)行歷史清單中的第99條命令

[zzs@linux] #!99 (!和99中間沒(méi)有空格)

重復(fù)執(zhí)行上一個(gè)命令

[zzs@linux] #!!

執(zhí)行最后一次以rpm開(kāi)頭的'命令(!? ?代表的是字符串,這個(gè)String可以隨便輸，Shell會(huì)從最后一條歷史命令向前搜索，最先匹配的一條命令將會(huì)得到執(zhí)行。)

[zzs@linux] #!rpm

逐屏列出所有的歷史記錄：

[zzs@linux]# history | more

立即清空history當(dāng)前所有歷史命令的記錄

[zzs@linux] #history -c

cat, tail 和 watch

系統(tǒng)所有的日志都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日志)

cat /var/log/syslog 等

cat /var/log/*.log

tail -f

如果日志在更新，如何實(shí)時(shí)查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

該指令，不會(huì)直接返回命令行，而是實(shí)時(shí)打印日志文件中新增加的內(nèi)容，

這一特性，對(duì)于查看日志是非常有效的。如果想終止輸出，按 Ctrl+C 即可。

除此之外還有more, less ,dmesg|more,這里就不作一一列舉了,因?yàn)槊钐嗔?關(guān)鍵看個(gè)人喜好和業(yè)務(wù)需求.個(gè)人常用的就是以上那些

linux日志文件說(shuō)明

/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志，是Red Hat Linux中最常用的日志之一

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

/var/log/wtmp 該日志文件永久記錄每個(gè)用戶登錄、注銷(xiāo)及系統(tǒng)的啟動(dòng)、停機(jī)的事件

2019-02-01 Linux查看用戶/歷史命令

1、當(dāng)前登錄用戶信息

who：

用戶名、終端類(lèi)型、登陸日期以及遠(yuǎn)程主機(jī)地址。

who /var/log/wtmp

可以查看自從wtmp文件創(chuàng)建以來(lái)的每一次登陸情況

-H：打印每列的標(biāo)題

users命令： 打印當(dāng)前登錄的用戶，從上面可以看到我自己從不同主機(jī)同時(shí)登錄，所以下面顯示2次。

2、查看命令歷史

每個(gè)用戶的命令歷史記錄保存在 ~/.bash_history 文件里，

或者在終端輸入： history

要想再執(zhí)行哪條，使用 !96 重新執(zhí)行該條命令。

3、last命令查看用戶登錄歷史

此命令會(huì)讀取 /var/log/wtmp文件；/var/log/btmp可以顯示遠(yuǎn)程登陸信息。

last默認(rèn)打印所有用戶的登陸信息。

如果想打印某個(gè)用戶的登陸信息，可以使用

last 用戶名

一些選項(xiàng)：

（1）-x：顯示系統(tǒng)開(kāi)關(guān)機(jī)以及執(zhí)行等級(jí)信息

（2）-a：將登陸ip顯示在最后一行

（3）-d：將IP地址轉(zhuǎn)換為主機(jī)名

（4）-t：查看指定時(shí)間的用戶登錄歷史

例如： 查看axing在

axing@ax:~$ last axing -a -t 20190201160000

4、lastlog命令查看所有用戶最近一次登錄歷史

讀取/var/log/lastlog文件；用戶排列順序按照/etc/passwd中的順序

一些選項(xiàng)：

（1） -u：查看某用戶的最后一次登錄記錄

比如： lastlog -u axing

（2） -t：查看最近幾天之內(nèi)的用戶登錄歷史

比如： lastlog -t 1

查看最近1天之內(nèi)的登陸歷史

（3） -b：查看指定天數(shù)之前的用戶登錄歷史

例如： lastlog -b 60

查看60天之前的用戶登錄歷史

5、ac命令

根據(jù)/var/log/wtmp文件中的登陸和退出時(shí)間報(bào)告用戶連接的時(shí)間（小時(shí)），默認(rèn)輸出報(bào)告總時(shí)間

需要安裝：

（1）-p：顯示每個(gè)用戶的連接時(shí)間

（2）-d：顯示每天的連接時(shí)間

（3）-y：顯示年份，和-d配合使用

文章標(biāo)題：linux中wtmp命令的簡(jiǎn)單介紹
網(wǎng)頁(yè)地址：http://chinadenli.net/article6/dsghoog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、網(wǎng)站導(dǎo)航、做網(wǎng)站、建站公司、網(wǎng)站排名、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)