7 Linux 常用命令(六)系统记录命令
系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件,如果你用vim打开这些文件,你会发现这些文件是二进制乱码。
这是由于这些日志中保存的是系统的重要登录痕迹,包括某个用户何时登录了系统,何时退出了系统,错误登录等重要的系统信息。
7.1 w命令
w命令是显示系统中正在登陆的用户信息的命令,这个命令查看的痕迹日志是/var/run/utmp。其基本信息如下
-
命令名称:w
-
英文原意:Show who is logged on and what they are doing.
-
所在路径:/usr/bin/w
-
执行权限:所有用户
功能描述:显示登录用户,查看其操作信息等
[root@localhost ~]# w
示例:
[root@localhost ~]# w
09:54:24 up 5:53, 1 user, load average: 0.19, 0.27, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 116.228.98.118 09:52 0.00s 0.01s 0.00s w
第一行信息,内容如下:
| 内容 | 说明 |
|---|---|
| 09:54:24 | 系统当前时间 |
| up 5:53, | 系统的运行时间,本机已经运行5小时53分钟 |
| 1 user | 当前登录了一个用户 |
| oad average: 0.19, 0.27, 0.27 | 统在之前1分钟、5分钟、15分钟的平均负载。 如果CPU是单核的,则这个数值超过1就是高负载; 如果CPU是四核的,则这个数值超过4就是高负载 (这个平均负载完全是依据个人经验来进行判断的,一般认为不应该超过服务器CPU的核数) |
第二行信息,内容如下:
| 内容 | 说明 |
|---|---|
| USER | 当前登陆的用户 |
| TTY | 登陆的终端: tty1-6:本地字符终端(alt+F1-6切换) tty7:本地图形终端(ctrl+alt+F7切换,必须安装启动图形界面) pts/0-255:远程终端 |
| FROM | 登陆的IP地址,如果是本地终端,则是空 |
| LOGIN@ | 登陆时间 |
| IDLE | 用户闲置时间 |
| JCPU | 所有的进程占用的CPU时间 |
| PCPU | 当前进程占用的CPU时间 |
| WHAT | 用户正在进行的操作 |
7.2 who命令
who命令和w命令类似,用于查看正在登陆的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志。
-
命令名称:who
-
英文原意:Show who is logged on and what they are doing.
-
所在路径:/usr/bin/who
-
执行权限:所有用户
功能描述:显示登录用户,查看其操作信息等
[root@localhost ~]# who
示例:
[root@localhost ~]# who
root pts/0 2021-06-03 09:52 (116.228.98.118)
7.3 last命令
last命令是查看系统所有登陆过的用户信息的,包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp痕迹日志文件。
命令名称:last
英文原意:View the history information of all logged in users.
所在路径:/usr/bin/last
执行权限:所有用户
功能描述:查看系统所有登陆过的用户历史信息
[root@localhost ~]# last
示例:
[root@localhost ~]# last
root pts/0 116.228.98.118 Thu Jun 3 09:52 still logged in
reboot system boot 3.10.0-1160.11.1 Thu Jun 3 04:00 - 10:09 (06:09)
reboot system boot 3.10.0-1160.11.1 Wed Jun 2 04:00 - 10:09 (1+06:09)
#系统重启信息记录
root pts/0 116.228.98.118 Mon May 31 09:39 - 09:39 (00:00)
#用户名 终端号 来源IP地址 登陆时间 - 退出时间
7.4 lastlog命令
lastlog命令是查看系统中所有用户最后一次的登陆时间的命令,他查看的日志是/var/log/lastlog文件。
-
命令名称:lastlog
-
英文原意:Check the last time a specific user logged in.
-
所在路径:/usr/bin/lastlog
-
执行权限:所有用户
功能描述:检查某特定用户上次登录的时间
[root@localhost ~]# lastlog [选项]
选项:
-b<天数>:显示指定天数前的登录信息;
-h:显示召集令的帮助信息;
-t<天数>:显示指定天数以来的登录信息;
-u<用户名>:显示指定用户的最近登录信息。
示例:
[root@localhost ~]# lastlog
Username Port From Latest
root pts/0 116.228.98.118 Thu Jun 3 09:52:50 +0800 2021
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
7.5 lastb命令
lastb命令是查看错误登陆的信息的,查看的是/var/log/btmp痕迹日志:
-
命令名称:lastb
-
英文原意:View the information of wrong login.
-
所在路径:/usr/bin/lastb
-
执行权限:所有用户
功能描述:查看错误登陆的信息
[root@localhost ~]# lastb
示例:
[root@localhost ~]# lastb
tomcat ssh:notty 95.111.236.177 Tue Jun 1 03:24 - 03:24 (00:00)
tomcat ssh:notty 95.111.236.177 Tue Jun 1 03:24 - 03:24 (00:00)
user ssh:notty 128.199.6.217 Tue Jun 1 03:24 - 03:24 (00:00)
user ssh:notty 128.199.6.217 Tue Jun 1 03:24 - 03:24 (00:00)
nominati ssh:notty 1.116.139.160 Tue Jun 1 03:24 - 03:24 (00:00)
nominati ssh:notty 1.116.139.160 Tue Jun 1 03:24 - 03:24 (00:00)
user ssh:notty 128.199.6.217 Tue Jun 1 03:23 - 03:23 (00:00)
user ssh:notty 128.199.6.217 Tue Jun 1 03:23 - 03:23 (00:00)
nominati ssh:notty 1.116.139.160 Tue Jun 1 03:23 - 03:23 (00:00)
nominati ssh:notty 1.116.139.160 Tue Jun 1 03:23 - 03:23 (00:00)
user ssh:notty 128.199.6.217 Tue Jun 1 03:23 - 03:23 (00:00)
浙公网安备 33010602011771号