Linux紀錄檔五大命令詳解

2019-12-17 04:25:53

紀錄檔對任何一個OS、應用軟體、服務進程而言都是必不可少的模組。紀錄檔檔案對於系統和網路安全起到中大作用，同時具有審計、跟蹤、排錯功能。可以通過紀錄檔檔案監測系統與網路安全隱患，以及監測駭客入侵攻擊路線。

1

1、who 命令

who 命令查詢 utmp 檔案並報告當前登入的每個使用者。Who 的預設輸出包括使用者名稱、終端型別、登入日期及遠端主機。使用該命令，系統管理員可以檢視當前系統存在哪些不法使用者，從而對其進行審計和處理。

例如：執行 who 命令顯示如下所示：

2

如果指明了 wtmp 檔名，則 who 命令查詢所有以前的記錄。命令 who /var/log/wtmp 將報告自從 wtmp 檔案建立或刪改以來的每一次登入。例如：執行該命令如下所示：

3

2、users 命令

users 用單獨的一行列印出當前登入的使用者，每個顯示的使用者名稱對應一個登入對談。如果一個使用者有不止一個登入對談，那他的使用者名稱將顯示相同的次數。

執行該命令將如下所示

4

3、last 命令

last 命令往回搜尋 wtmp 來顯示自從檔案第一次建立以來登入過的使用者。系統管理員可以周期性地對這些使用者的登入情況進行審計和考核，從而發現起中存在的問題，確定不法使用者，並進行處理。

執行該命令，如下所示：

5

讀者可以看到，使用上述命令顯示的資訊太多，區分度很小。所以，可以通過指明使用者來顯示其登入資訊即可。例如：使用 last reoot 來顯示 reboot 的歷史登入資訊，則如下所示：

6

4、ac 命令

ac 命令根據當前的/var/log/wtmp 檔案中的登入進入和退出來報告使用者連結的時間（小時），如果不使用標誌，則報告總的時間。

另外，可加一些引數，例如：

last -u 102 將報告 UID 為 102 的使用者；

last -t 7 表示限制上一周的報告

7

5、lastlog 命令

lastlog 檔案在每次有使用者登入時被查詢。可以使用 lastlog 命令檢查某特定使用者上次登入的時間，並格式化輸出上次登錄紀錄檔/var/log/lastlog 的內容。它根據 UID 排序顯示登入名、埠號（tty）和上次登入時間。如果一個使用者從未登入過，lastlog 顯示**Never logged**。注意需要以 root 身份執行該命令。

Linux紀錄檔五大命令詳解

1

2

3

4

5

6

7

熱門文章