外观
系统痕迹命令
系统中有一些重要的痕迹日志文件,如 /var/log/wtmp、 /var/run/utmp、 /var/log/btmp、/var/log/lastlog 等日志文件,如果你用 vim 打开这些文件,你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误登录等重要的系统信息。这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志,只能通过对应的命令来进行查看。
w 命令
w 命令是显示系统中正在登录的用户信息的命令,这个命令查看的痕迹日志是 "/var/run/utmp"。基础信息如下:
- 命令名称:w
- 英文原意:show who is logged on and what they are doing
- 所在路径:/usr/bin/w
- 执行权限:所有用户
- 功能描述:显示登录用户和他们正在做什么
命令格式:w [选项] [用户名]
- 选项:
-h:不打印头信息;-u:当显示当前进程和cpu时间时忽略用户名;-s:使用短输出格式;-f:显示用户从哪登录;
- 用户:仅显示指定用户
示例:
[root@localhost ~]# w
18:31:08 up 1 day, 16 min, 3 users, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - Sat18 49:23 0.07s 0.07s -bash
root pts/0 192.168.199.119 18:22 8:17 0.02s 0.02s -bash
root pts/1 192.168.199.119 18:22 0.00s 0.03s 0.00s w说明:
- 第一行内容:
- 18:31:08:系统当前时间
- up 1 day, 16 min:系统的运行时间
- 3 users:当前登录终端数量
- load average: 0.00, 0.00, 0.00:系统在之前1分钟、5分钟、15分钟的平均负载。如果CPU是单核的,则这个数据超过1就是高负载;如果CPU是四核的,则这个数值超过4就是高负载
- 第二行内容:
- USER:当前登录的用户
- TTY:登录的终端。tty1-6: 本地字符终端(alt+F1-6 切换),tty7: 本地图形终端(ctrl+F7切换,必须安装启动图形界面),pts/0-255: 远程终端
- FROM:登录的IP地址,如果是本地终端,则是空
- LOGIN@:登录时间
- IDLE:用户空闲时间
- JCPU:所有的进程占用的CPU时间
- PCPU:当前进程占用的CPU时间
- WHAT:用户正在进行的操作
who 命令
who 命令和 w 命令类似,用于查看正在登录的用户,但显示的内容更加简单,也是查看 "/var/run/utmp" 日志。
命令格式:who [选项] [查询文件]
- 选项:
-H:显示各栏位的标题信息列-q:只显示登入系统的帐号名称和总人数-w:显示用户的信息状态栏-u:显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串
- 查询文件:指定要查询的文件,默认是/var/run/utmp
last 命令
last 命令查看系统所有登录过的用户信息,包括正在登录的用户和之前登录的用户,这个命令查看的是 "/var/log/wtmp" 痕迹日志文件
命令格式:last [选项] [用户|终端]
- 选项:
-a:把从何处登入系统的主机名称或ip地址,显示在最后一行-d:将IP地址转换成主机名称-f 记录文件:指定记录文件-n 显示列数或-显示列数:设置列出名单的显示列数-R:不显示登入系统的主机名称或IP地址-x:显示系统关机,重新开机,以及执行等级的改变等信息
- 用户|终端:显示指定的用户或终端
lastlog 命令
lastlog 命令是查看系统中所有用户最好一次的登录时间的命令,这个命令查看的是 "/var/log/lastlog" 痕迹日志文件
命令格式:lastlog [选项]
- 选项:
-b 天数:显示指定天数前的登录信息-t 天数:显示指定天数以来的登录信息-u 用户名:显示指定用户的最近登录信息
lostb 命令
lastb 命令是查看错误登录的信息的,查看的是 "/var/log/btmp" 痕迹日志
命令格式:lostb [选项] [用户|终端]
- 选项:
-a:把从何处登入系统的主机名称或ip地址显示在最后一行-d:将IP地址转换成主机名称-f 记录文件:指定记录文件-n 显示列数或-显示列数:设置列出名单的显示列数-R:不显示登入系统的主机名称或IP地址-x:显示系统关机,重新开机,以及执行等级的改变等信息
- 用户|终端:显示指定的用户或终端