系 統(tǒng) 中 有 一 些 重 要 的 痕 跡 日 志 文 件 , 如 /var/log/wtmp 、 /var/run/utmp 蛾扇、 /var/log/btmp 歇盼、/var/log/lastlog 等日志文件舔痕,如果你用 vim 打開這些文件,你會(huì)發(fā)現(xiàn)這些文件是二進(jìn)制亂碼豹缀。這是由于這些日志中保存的是系統(tǒng)的重要登錄痕跡伯复,包括某個(gè)用戶何時(shí)登錄了系統(tǒng),何時(shí)退出了系統(tǒng)邢笙,錯(cuò)誤登錄等重要的系統(tǒng)信息啸如。這些信息要是可以通過 vim 打開,就能編輯氮惯,這樣痕跡信息就不準(zhǔn)確叮雳,所以這些重要的痕跡日志想暗,只能通過對(duì)應(yīng)的命令來進(jìn)行查看。
1. w命令
w 命令是顯示系統(tǒng)中正在登陸的用戶信息的命令帘不,這個(gè)命令查看的痕跡日志是/var/run/utmp说莫。這個(gè)命令的基本信息如下
功能描述:顯示燈用戶,和他正在做什么
w命令
image.png
image.png
2.who命令
who 命令和 w 命令類似寞焙,用于查看正在登陸的用戶储狭,但是顯示的內(nèi)容更加簡單,也是查看/var/run/utmp 日志棺弊。
image.png
3. last命令
last 命令是查看系統(tǒng)所有登陸過的用戶信息的晶密,包括正在登陸的用戶和之前登陸的用戶。這個(gè)命令查看的是/var/log/wtmp 痕跡日志文件模她。
image.png
4.lastlog 命令
lastlog 命令是查看系統(tǒng)中所有用戶最后一次的登陸時(shí)間的命令稻艰,他查看的日志是/var/log/lastlog文件。
image.png
5. lastb 命令
lastb 命令是查看錯(cuò)誤登陸的信息的侈净,查看的是/var/log/btmp 痕跡日志:
image.png
