Linux日志五大命令详解

• 1、who 命令

  who 命令查询 utmp 文件并报告当前登录的每个用户。Who 的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些不法用户，从而对其进行审计和处理。

  例如：运行 who 命令显示如下所示：

  

• 如果指明了 wtmp 文件名，则 who 命令查询 所 有 以 前 的 记 录 。 命 令 who /var/log/wtmp 将报告自从 wtmp 文件创建或删改以来的每一次登录。例如：运行该命令如下所示：

  

• 2、users 命令

  users 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。

  运行该命令将如下所示

  

• 3、last 命令

  last 命令往回搜索 wtmp 来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现起中存在的问题，确定不法用户，并进行处理。

  运行该命令，如下所示：

  

   

  lastb  #查看谁尝试登录系统

  root     pts/0                         Sat Dec  3 00:05 - 00:05  (00:00)

• 读者可以看到，使用上述命令显示的信息太多，区分度很小。所以，可以通过指明用户来显示其登录信息即可。例如：使用 last reoot 来显示 reboot 的历史登录信息，则如下所示：

  

• 4、ac 命令

  ac 命令根据当前的/var/log/wtmp 文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。

  另外，可加一些参数，例如：

  last -u 102  将报告 UID 为 102 的用户；

  last -t 7    表示限制上一周的报告

  

• 5、lastlog 命令

  lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令检查某特定用户上次登录 的 时 间 ， 并 格 式 化 输 出 上 次 登 录 日志/var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示**Never  logged**。注意需要以 root 身份运行该命令。

  

   

  Linux日志管理+ last lastlog lastb : http://blog.csdn.net/xin_y/article/details/53440707