目錄
1、w指令
2、who指令
3、last指令
4、lastlog指令
5、lastb指令
系統中有一些重要的痕迹日志檔案,如<code>/var/log/wtmp</code>、<code>/var/run/utmp</code>、<code>/var/log/btmp</code>、
<code>/var/log/astlog</code>等日志檔案,如果你用<code>vim</code>打開這些檔案,你會發現這些檔案是二進制亂碼。這是由于這些日志中儲存的是系統的重要登入痕迹,包括某個使用者何時登入了系統,何時退出了系統,錯誤登入等重要的系統資訊。這些資訊要是可以通過<code>vim</code>打開,就能編輯,這樣痕迹資訊就不準确,是以這些重要的痕迹日志,隻能通過對應的指令來進行檢視(不能修改)。
<code>w</code>指令是顯示系統中正在登陸的使用者資訊的指令,這個指令檢視的痕迹日志是<code>/var/run/utmp</code>。
(1)<code>w</code>指令的基本資訊如下:
指令名稱:<code>w</code>
英文原意:<code>Show who is logged on and what they are doing.</code>
所在路徑:<code>/usr/bin/w</code>
執行權限:所有使用者。
功能描述:顯示燈使用者,和他正在做什麼。
示例:
(2)顯示内容說明
第一行資訊内容如下:
<code>12:26:46</code> : 系統目前時間。
<code>up 1day,5:47</code> : 系統的運作時間,本機已經運作1天5小時47分鐘。
<code>2 users</code> : 目前登入了兩個使用者。
<code>load average:0.00,0.01,0.05</code> : 系統在之前1分鐘、5分鐘、15分鐘的平均負載。如果CPU是單核的,則這個數值超過1就是高負載:如果CPU是四核的,則這個數值超過4就是高負載(這個平均負載完全是依據個人經驗來進行判斷的,一般認為不應該超過伺服器CPU的核數)。
第二行資訊内容如下:
<code>USER</code>:目前登陸的使用者。
<code>TTY</code>:登陸的終端:
<code>tty1-6</code>:本地字元終端(<code>alt+F1-6</code>切換)
<code>tty7</code>:本地圖形終端(<code>ctrl+alt+F7</code>切換,必須安裝啟動圖形界面)
<code>pts/0-255</code>:遠端終端
<code>FROM</code>:登陸的IP位址,如果是本地終端,則是空。
<code>LOGIN@</code>:登陸時間。
<code>IDLE</code>:使用者閑置時間。
<code>JCPU</code>:所有的程序占用的CPU時間。
<code>PCPU</code>:目前程序占用的CPU時間。
<code>WHAT</code>:使用者正在進行的操作。
<code>who</code>指令和<code>w</code>指令類似,用于檢視正在登陸的使用者,但是顯示的内容更加簡單。等同于是檢視
<code>/var/run/utmp</code>日志檔案。
<code>last</code>指令是檢視系統所有登陸過的使用者資訊的,包括正在登陸的使用者和之前登陸的使用者。
這個指令檢視的是<code>/var/log/wtmp</code>痕迹日志檔案。該指令檢視的是一個重要的系統痕迹日志,包括重新開機時間都會有記錄。
如下圖所示:
<code>lastlog</code>指令是檢視系統中所有使用者最後一次的登陸時間的指令,他檢視的日志是<code>/Nar/log/lastlog</code>檔案。
Linux系統自動建立的使用者是重要的系統使用者,一般也稱之為僞使用者。
為什麼稱之為僞使用者,因為這些使用者是不能用于登陸的。
這些使用者也不能删除,這些使用者是用來啟動Linux系統中對應的服務和程式的。如果把這些使用者删除了,與之對應的服務就無法啟動,有可能導緻無法開機。
<code>lastb</code>指令是檢視錯誤登陸的資訊的(如密碼輸入錯誤沒有登陸成功等),檢視的是<code>/var/log/btmp</code>痕迹日志。