彪悍人生无需过多解释!
分类: LINUX
2011-06-29 08:52:58
查看ubuntu的登录日志
ssh的日志/var/log/secure
如果没有上面的文件
系统登录日志则放在/var/log/auth.log
查看通过utmp登录到主机的用户
当前登录用户的信息记录在文件/var/run/utmp 中, 属于utmp这个用户组所有
可以使用who命令查看
-b, –boot 上次系统启动时间
-d, –dead 显示已死的进程
-l,–login 显示系统登录进程
-q, –count 列出所有已登录用户的登录名与用户数量
-u, –users 列出已登录的用户
-a, –all 等于-b -d –login -p -r -t -T -u 选项的组合
如果文件未被指定,则使用/var/run/utmp。/var/log/wtmp 是通用的相关文件。
登录进入和退出纪录在文件/var/log/wtmp, 也属于utmp这个组
可以使用w命令查看
最后一次登录记录在 /var/log/lastlog 这个文件中, 也属于utmp这个组
可以使用 lastlog 命令查看
-t, –time DAYS 指定天数 内的记录
-b, –before DAYS
-u, –user LOGIN 指定用户的记录
last -R
Usage: last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-adioxF] [username..] [tty..]
last命令往回搜索wtmp,来显示自从文件第一次创建以来登录过的用户
users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话
utmp 文件用于记录当前系统用是哪些人。但是实际的人数可能比这个数目要多 .因为并非所有用户都用utmp登录
小工具:
wted 编辑wtmp,utmp日志
z2 日志清理工具。可删除utmp,wtmp,lastlog日志文件中有关某个用户名的所有条目
/usr/sbin/dump-utmp The GNU Accounting utilities for process and login accounting工具包,可以转换连接记帐数据为可读的ASCII格式数据
