Linux系统常见的日志文件:
路径1:/var/log/messages:记录 Linux 内核消息及各种应用程序的公共日志信息
路径2:/var/log/cron:记录 crond 计划任务产生的事件信息
路径3:/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息
路径4:/var/log/maillog:记录进入或发出系统的电子邮件活动
路径5:/var/log/lastlog:记录每个用户最近的登录事件
路径6:/var/log/secure:记录用户认证相关的安全事件信息
路径7:/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件
路径8:/var/log/btmp:记录失败的、错误的登录尝试及验证事件
Linux系统用户日志相关命令:
1.users
users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
2.who
who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。
3.w
w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些。
4.last
last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
5.lastb
lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。
执行:
在执行 last 命令时,它默认会读取 /var/log/wtmp 日志文件,这是一个二进制文件,不能直接用 vi 编辑,只能通过 last 命令调用
lastlog 命令默认是去读取 /var/log/lastlog 日志文件的,这个文件同样是二进制文件,不能直接用 vi 编辑,需要使用 lastlog 命令调用。