ImQi1云笔记

外观

系统痕迹命令

系统中有一些重要的痕迹日志文件,如 /var/log/wtmp、 /var/run/utmp、 /var/log/btmp、/var/log/lastlog 等日志文件,如果你用 vim 打开这些文件,你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误登录等重要的系统信息。这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以这些重要的痕迹日志,只能通过对应的命令来进行查看。

w 命令

w 命令是显示系统中正在登录的用户信息的命令,这个命令查看的痕迹日志是 "/var/run/utmp"。基础信息如下:

  • 命令名称:w
  • 英文原意:show who is logged on and what they are doing
  • 所在路径:/usr/bin/w
  • 执行权限:所有用户
  • 功能描述:显示登录用户和他们正在做什么

命令格式:w [选项] [用户名]

  • 选项:
    • -h:不打印头信息;
    • -u:当显示当前进程和cpu时间时忽略用户名;
    • -s:使用短输出格式;
    • -f:显示用户从哪登录;
  • 用户:仅显示指定用户

示例:

[root@localhost ~]# w
 18:31:08 up 1 day, 16 min,  3 users,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     -                Sat18   49:23   0.07s  0.07s -bash
root     pts/0    192.168.199.119  18:22    8:17   0.02s  0.02s -bash
root     pts/1    192.168.199.119  18:22    0.00s  0.03s  0.00s w

说明:

  • 第一行内容:
    • 18:31:08:系统当前时间
    • up 1 day, 16 min:系统的运行时间
    • 3 users:当前登录终端数量
    • load average: 0.00, 0.00, 0.00:系统在之前1分钟、5分钟、15分钟的平均负载。如果CPU是单核的,则这个数据超过1就是高负载;如果CPU是四核的,则这个数值超过4就是高负载
  • 第二行内容:
    • USER:当前登录的用户
    • TTY:登录的终端。tty1-6: 本地字符终端(alt+F1-6 切换),tty7: 本地图形终端(ctrl+F7切换,必须安装启动图形界面),pts/0-255: 远程终端
    • FROM:登录的IP地址,如果是本地终端,则是空
    • LOGIN@:登录时间
    • IDLE:用户空闲时间
    • JCPU:所有的进程占用的CPU时间
    • PCPU:当前进程占用的CPU时间
    • WHAT:用户正在进行的操作

who 命令

who 命令和 w 命令类似,用于查看正在登录的用户,但显示的内容更加简单,也是查看 "/var/run/utmp" 日志。

命令格式:who [选项] [查询文件]

  • 选项:
    • -H:显示各栏位的标题信息列
    • -q:只显示登入系统的帐号名称和总人数
    • -w:显示用户的信息状态栏
    • -u:显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串
  • 查询文件:指定要查询的文件,默认是/var/run/utmp

last 命令

last 命令查看系统所有登录过的用户信息,包括正在登录的用户和之前登录的用户,这个命令查看的是 "/var/log/wtmp" 痕迹日志文件

命令格式:last [选项] [用户|终端]

  • 选项:
    • -a:把从何处登入系统的主机名称或ip地址,显示在最后一行
    • -d:将IP地址转换成主机名称
    • -f 记录文件:指定记录文件
    • -n 显示列数-显示列数:设置列出名单的显示列数
    • -R:不显示登入系统的主机名称或IP地址
    • -x:显示系统关机,重新开机,以及执行等级的改变等信息
  • 用户|终端:显示指定的用户或终端

lastlog 命令

lastlog 命令是查看系统中所有用户最好一次的登录时间的命令,这个命令查看的是 "/var/log/lastlog" 痕迹日志文件

命令格式:lastlog [选项]

  • 选项:
    • -b 天数:显示指定天数前的登录信息
    • -t 天数:显示指定天数以来的登录信息
    • -u 用户名:显示指定用户的最近登录信息

lostb 命令

lastb 命令是查看错误登录的信息的,查看的是 "/var/log/btmp" 痕迹日志

命令格式:lostb [选项] [用户|终端]

  • 选项:
    • -a:把从何处登入系统的主机名称或ip地址显示在最后一行
    • -d:将IP地址转换成主机名称
    • -f 记录文件:指定记录文件
    • -n 显示列数-显示列数:设置列出名单的显示列数
    • -R:不显示登入系统的主机名称或IP地址
    • -x:显示系统关机,重新开机,以及执行等级的改变等信息
  • 用户|终端:显示指定的用户或终端

许可证:署名 4.0 国际 (CC-BY-4.0)

2026 © 棋