Linux系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件,如果使用vim打开这些文件,会发现都是二进制乱码,这是由于这些日志中保存的是系统的重要登录痕迹等,包括某个用户何时登录了系统、何时退出了系统、错误登录等重要的信息,如果可以通过vim打开编辑,信息就会不准确,所以只能通过对应的命令来进行查看。
w
显示系统中正在登录的用户的信息,该命令查看的痕迹日志是/var/run/utmp
| 字段 | 说明 |
|---|---|
| USER | 登录的用户 |
| TTY | 登录的终端号 |
| FROM | 登录的IP地址(如果是本地终端,则是空) |
| LOGIN@ | 登录时间 |
| IDLE | 用户闲置时间 |
| JCPU | 所有的进程占用的CPU时间 |
| PCPU | 当前进程占用的CPU时间 |
| WHAT | 用户正在进行的操作 |
who
和w命令类似,用于查看正在登录的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志
users
用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示多次
last
查看系统所有登录过的用户的信息,包括正在登录的用户和之前登录的用户,查看的是/var/log/wtmp日志
lastlog
查看系统中所有用户的最后一次登录时间的命令,查看的是/var/log/lastlog日志
lastb
查看错误登录的信息,查看的是/var/log/btmp日志
history
查看当前用户的历史执行命令,保存在~/.bash_history中。
可以用!行数去执行对应history中的命令。