linux 系统登陆痕迹命令

黄振国

原文地址: https://zhuanlan.zhihu.com/p/153544527

系统中有一些重要的痕迹日志文件，如 /var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog

等日志文件，如果你用 vim 打开这些日志文件，你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹，包括某个用户何时登录的系统，何时退出了系统，错误登录等重要的系统信息。这些信息要是可以通过 vim 打开，就能编辑，这样痕迹信息就不准确，所以这些重要的痕迹日志，只能通过对应的命令来查看。

1、w 命令
w 命令是显示系统中正在登录的用户信息的命令，这个命令查看的痕迹日志是 /var/run/utmp
[root@hepingfly bin]# w
#系统时间    # 持续开机时间  #登录用户   #系统在 1 分钟，5 分钟，15 分钟前的平均负载
00:21:28 up 18 min,  2 users,  load average: 0.46, 0.24, 0.17
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     :0               00:03   18:14   2.77s  2.77s /usr/bin/Xorg :0 -br -verbose -audit 4 -auth /var/run/gdm/auth-for-gdm-vzfS4H/database -
root     pts/0    :0.0             00:17    0.00s  0.05s  0.04s w
第一行信息内容如下：


第二行信息内容如下：


2、who 命令
who 命令 和 w 命令类似，用于查看正在登录的用户，但是显示的内容更加简单，也是查看 /var/run/utmp 的日志

[root@hepingfly bin]# who
root     tty1         2019-02-28 00:03 (:0)
root     pts/0        2019-02-28 00:17 (:0.0)
#用户名    #登录终端      登录时间(来源 ip)
3、last 命令
last 命令是查看系统所有登录过的用户信息，包括正在登录的用户和之前登录过的用户。这个命令查看的是 /var/log/wtmp 痕迹日志文件

[root@hepingfly bin]# last
root     pts/0        :0.0             Thu Feb 28 00:17   still logged in   
root     tty1         :0               Thu Feb 28 00:03   still logged in   
reboot   system boot  2.6.32-642.el6.x Thu Feb 28 00:03 - 00:52  (00:49)  
#用户名    #终端号      #来源 IP 地址                        #登录时间                        # 退出时间
4、lastlog 命令
lastlog 命令是查看系统中所有用户最后一次的登录时间的命令，他查看的日志是 /var/log/lastlog 文件

5、lastb 命令
lastb 是查看错误登录信息的，查看的是 /var/log/btmp 痕迹日志

[root@hepingfly bin]# lastb
hepingfl tty1         :0               Wed Feb 27 02:16 - 02:16  (00:00)   
hepingfl tty1         :0               Sat Feb 23 18:50 - 18:50  (00:00)   

btmp begins Sat Feb 23 18:50:09 2019
# 错误登录用户    # 终端       #尝试登录时间