在 Linux 中, 用户所做的操作, 系统运行情况等重要数据都存放在系统相应的日志文件中, 这样可以使的在维护中做到有迹可循. 方便排查问题. 但是某些重要的日志文件若使用 vi/VIM 编辑器无法查看. 这是因为 vi/VIM 这样查看并不准确 (可能存在人为修改或者误改的情况). 但是可以使用相对应的命令进行查看.
一, w 命令 (显示谁登录了, 他们在做什么) w 命令查看的日志是 /var/run/utmp
上图所示, 登录两个用户, 系统中登录两个用户.(root 与 user1)
w 命令输出了三行信息.(三, 四两行用户不同, 但各个参数含义是一样的)
第一行: 系统当前时间, 系统开机时间, 登录用户数, 系统前 1 分钟 CPU 负载, 系统前 5 分钟 CPU 负载, 系统前 15f 分钟 CPU 负载.
(其中平均负载是一个参考值).
第二行: 登录的用户, 登录的终端, 登录端的 IP 地址, 登录时间, 用户闲置时间, 所有进程占用 CPU 时间, 当前进程所占 CPU 时间, 用户正在进行的操作.
其中 (登录的终端: tty1-6 代表本地字符终端, tty7 代表本地图形终端, pts/0-255 代表远程终端)(-bash 代表当前用户正在闲置或运行 w 时无操作)
二, who 命令 (显示谁在登录) who 命令查看的日志是 /var/run/utmp
相对于 w 命令 who 命令更加简单明了
登录用户名, 登录的终端, 登录时间, 登录者的 IP
三, last 命令 (显示包括正在登录或者之前登录过的用户的列表) last 命令查看的日志是 / var/log/wtmp
左→: 用户名, 终端号, 登录者 IP 地址, 登录时间, 退出时间
其中包括系统重启也记录在内.
查询具体时间内的登录用户 [-t YYYYMMDDHHMMSS]
四, lasrlog 命令 (查看系统内所有用户最后一次登录时间) lastlog 命令查看的是 / var/log/lastlog
左→: 用户名, 终端号, 登录者 IP 地址, 登录时间
五, lastb 命令 (显示最后登录错误的用户)lastb 命令查看的是 / var/log/btmp
左→: 用户名, 登录方式, 登录者 IP 地址, 尝试登录时间
六, history 命令 (查看此用户所执行过的命令, 最多记录 1000 个)history 命令查看的~/.bash_history.
也可以使用 cat .bash_history 命令直接查看这个文件, 效果是一样的.
来源: http://www.bubuko.com/infodetail-3508885.html