Linux之系统痕迹命令

系 统 中 有 一 些 重 要 的 痕 迹 日 志 文 件 , 如 /var/log/wtmp 、 /var/run/utmp 、 /var/log/btmp 、
/var/log/lastlog 等日志文件,如果你用 vim 打开这些文件,你会发现这些文件是二进制乱码。这是由
于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误
登录等重要的系统信息。这些信息要是可以通过 vim 打开,就能编辑,这样痕迹信息就不准确,所以
这些重要的痕迹日志,只能通过对应的命令来进行查看。

W命令

Linux w命令用于显示目前登入系统的用户信息。

执行这项指令可得知目前登入系统的用户有哪些人,以及他们正在执行的程序。

单独执行 w 指令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。

语法

w [-fhlsuV][用户名称]

参数说明

  • -f  开启或关闭显示用户从何处登入系统。
  • -h  不显示各栏位的标题信息列。
  • -l  使用详细格式列表,此为预设值。
  • -s  使用简洁格式列表,不显示用户登入时间,终端机阶段作业和程序所耗费的CPU时间。
  • -u  忽略执行程序的名称,以及该程序耗费CPU时间的信息。
  • -V  显示版本信息
[[email protected] ~]# w
 16:10:50 up 1 day, 21:05,  4 users,  load average: 0.11, 0.07, 0.06
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    36.5.245.99      10:51   20:18   0.04s  0.04s -bash
root     pts/1    36.5.245.99      15:50   20:15   0.00s  0.00s -bash
root     pts/2    183.160.53.162   15:53    2.00s  0.00s  0.00s w
root     pts/3    183.160.53.162   15:53    8:18   0.00s  0.00s -bash
[root@iZbp145axkc98giot5b448Z ~]#

 who命令

who 命令和 w 命令类似,用于查看正在登陆的用户,但是显示的内容更加简单,也是查看/var/run/utmp 日志。

语法

who - [husfV] [user]

参数说明

  • -H 或 --heading:显示各栏位的标题信息列;
  • -i 或 -u 或 --idle:显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串;
  • -m:此参数的效果和指定"am i"字符串相同;
  • -q 或--count:只显示登入系统的帐号名称和总人数;
  • -s:此参数将忽略不予处理,仅负责解决who指令其他版本的兼容性问题;
  • -w 或-T或--mesg或--message或--writable:显示用户的信息状态栏;
  • --help:在线帮助;
  • --version:显示版本信息。
[[email protected] ~]# who
root     pts/0        2020-02-19 10:51 (36.5.245.99)
root     pts/1        2020-02-19 15:50 (36.5.245.99)
root     pts/2        2020-02-19 15:53 (183.160.53.162)
root     pts/3        2020-02-19 15:53 (183.160.53.162)
[root@iZbp145axkc98giot5b448Z ~]#

last命令

last 命令是查看系统所有登陆过的用户信息的,包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp 痕迹日志文件。

语法

shell>> last [options]

参数说明

  • -R 省略 hostname 的栏位
  • -num 展示前 num 个
  • username 展示 username 的登入讯息
  • tty 限制登入讯息包含终端机代号

实例

[[email protected] ~]# last
root     pts/3        183.160.53.162   Wed Feb 19 15:53   still logged in
root     pts/2        183.160.53.162   Wed Feb 19 15:53   still logged in
root     pts/1        36.5.245.99      Wed Feb 19 15:50   still logged in
root     pts/0        36.5.245.99      Wed Feb 19 10:51   still logged in
root     pts/1        36.5.245.99      Tue Feb 18 22:57 - 23:25  (00:28)
root     pts/0        36.5.245.99      Tue Feb 18 16:58 - 23:25  (06:27)
root     pts/1        58.243.250.92    Mon Feb 17 21:12 - 04:37  (07:24)
root     pts/0        36.5.245.99      Mon Feb 17 19:12 - 21:27  (02:15)
root     pts/0        36.5.245.99      Mon Feb 17 19:11 - 19:12  (00:00)
root     pts/0        36.5.245.99      Mon Feb 17 19:06 - 19:11  (00:05)
reboot   system boot  3.10.0-957.21.3. Tue Feb 18 03:05 - 15:57 (1+12:52)

wtmp begins Thu Jul 11 11:10:20 2019

lastlog 命令
lastlog 命令是查看系统中所有用户最后一次的登陆时间的命令,他查看的日志是/var/log/lastlog
文件。

[[email protected] ~]# lastlog
Username         Port     From             Latest
root             pts/3    183.160.53.162   Wed Feb 19 15:53:06 +0800 2020
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
systemd-network                            **Never logged in**
dbus                                       **Never logged in**
polkitd                                    **Never logged in**
sshd                                       **Never logged in**
postfix                                    **Never logged in**
chrony                                     **Never logged in**
ntp                                        **Never logged in**
tcpdump                                    **Never logged in**
nscd                                       **Never logged in**
mysql                                      **Never logged in**
wgr              pts/1                     Tue Feb 18 22:57:18 +0800 2020

lastb 命令
lastb 命令是查看错误登陆的信息的,查看的是/var/log/btmp 痕迹日志:

[[email protected] ~]# lastb
         ssh:notty    139.162.122.110  Wed Feb 19 02:28 - 02:28  (00:00)
admin    ssh:notty    45.190.220.53    Tue Feb 18 11:22 - 11:22  (00:00)
admin    ssh:notty    45.190.220.53    Tue Feb 18 11:22 - 11:22  (00:00)
admin    ssh:notty    45.190.220.53    Tue Feb 18 11:22 - 11:22  (00:00)
admin    ssh:notty    45.190.220.53    Tue Feb 18 11:22 - 11:22  (00:00)

btmp begins Tue Feb 18 11:22:48 2020
[root@iZbp145axkc98giot5b448Z ~]#

原文地址:https://www.cnblogs.com/dalianpai/p/12331771.html

时间: 2024-10-08 19:58:27

Linux之系统痕迹命令的相关文章

Linux查看系统状态命令

Linux查看系统状态命令     iostat iostat 命令详细地显示了存储子系统方面的情况.你通常用iostat来监控存储子系统总体上运行状况如何,并且在用户注意到服务器运行缓慢之前提早发现输入/输出缓慢的问题.相信我,你应该在用户发现这些问题之前先发现这些问题! meminfo和free meminfo为你详细显示了内存方面的情况.你通常可以使用另一个程序,比如cat和grep,来访问meminfo的信息.比如说,cat /proc/meminfo为你详细显示了服务器的内存在任何一个

linux常用系统监控命令

原文:http://blog.sina.com.cn/s/blog_68f1c17001016uvy.html Linux提供了很多用于监控系统的工具,使用这些工具可以找到导致系统性能降低的瓶颈.系统反应慢并不总是由于CPU慢,它也可能是因为磁盘速度太慢.系统中安装的内存较少.网络拥挤或其他反应较慢的系统部件导致. 一.top –进程活动监控 最广泛使用的系统性能监控工具是top,你启动top后,它每隔五秒显示一屏信息,动态实时地显示系统状态. top的输出显示如下: 在最顶行显示了系统名和信息

linux chsh命令参数及用法详解(linux设置系统shell命令)

使用权限:所有使用者 命令:chsh  用法:shell>> chsh  说明:更改使用者 shell 设定  范例:  shell>> chsh  Changing fihanging shell for user1  Password: [del]  New shell [/bin/tcsh]: ### [是目前使用的 shell]  [del]  shell>> chsh -l ### 展示 /etc/shells 档案内容  /bin/bash  /bin/sh

Linux(CentOS)系统常用命令

操作系统:CentOS release 6.6 (Final) 说明:RedHat.CentOS.Debian.Ubuntu.FreeBSD等系统都是基于linux内核源代码,所以在原理和操作上既有很多是相似的,也有各自的特性. 一:查看cpu信息[[email protected] /]# grep "model name" /proc/cpuinfo model name      : Pentium(R) Dual-Core  CPU      E5200  @ 2.50GHz

Linux查看系统状态命令top

用法 top 自动刷新系统状态,要结束使用[Ctrl]+[C] 效果图: 信息解释(转自百度经验http://jingyan.baidu.com/article/4d58d5412917cb9dd4e9c0ed.html):

学习Linux系统中命令的简单方法

如果说如何快速学习.了解Linux的话,我的答案是学命令.背命令!为何呢?对于一名新手来说,去学习Linux的思想.了解Linux的架构.明白Linux中"一切皆文件"概念虽然说是没有错,是对的.但是个人认为去学习这些"高大上"的东西不是一时半会的事儿,它需要一定的时间和经验去沉淀才能掌握.那么如何最快速了解Linux并使用呢?我依然觉得学命令.背命令,掌握命令是比较笨但却是比较快的方式. 我开始学习Linux的时候,问了前辈:我入门Linux需要掌握哪些命令呢?前

在Linux/Unix系统下用iconv命令处理文本文件中文乱码问题

iconv命令是运行于linux/unix平台的文件编码装换工具.当我们在linux/unix系统shell查看文本文件时,常常会发现文件的中文是乱码的,这是由于文本文件的编码与当前操作系统设置的编码不同而引起的,这时可以使用iconv进行编码转换,从而解决乱码问题. 解决文本文件乱码问题分3步:1.确定文件编码,2.确定iconv是否支持此编码的转换,3.确定Linux/Unix操作系统编码,4.转换文件编码为与系统编码一致:下面通过对test.txt文件来举例. 1. 使用file命令来确定

linux系统网络命令(七)

一.sar命令 1.简介 sar命令是Linux下系统运行状态统计工具,它将指定的操作系统状态计数器显示到标准输出设备.sar工具将对系统当前的状态进行取样,然后通过计算数据和比例来表达系统的当前运行状态.它的特点是可以连续对系统取样,获得大量的取样数据.取样数据和分析的结果都可以存入文件,使用它时消耗的系统资源很小. 2.常用选项 -A  显示所有历史数据,通过读取/var/log/sar 目录下的所有文件,并把它们分门别类的显示出来: -b  通过设备的I/O中断读取设置的吞吐率: -B 报

linux系统find命令详解

find命令 –用途:用于查找文件或目录 –格式:find  [查找范围]  [查找条件] 常用查找条件 –-name:按文件名称查找 –-size:按文件大小查找 –-user:按文件属主查找 –-type:按文件类型查找 –-print:以\n为换行符打印出文件(路径) 高级查找条件 –-perm:按权限查找 –-ctime(-cmin):按文件创建时间(天为单位)查找 –-atime(-amin):按访问时间查找 –-mtime(-mmin):修改时间查找 –-newer:查找比指定文件更