Linux:系统痕迹命令

Linux系统中有一些重要的痕迹日志文件,如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件,如果使用vim打开这些文件,会发现都是二进制乱码,这是由于这些日志中保存的是系统的重要登录痕迹等,包括某个用户何时登录了系统、何时退出了系统、错误登录等重要的信息,如果可以通过vim打开编辑,信息就会不准确,所以只能通过对应的命令来进行查看。

w

显示系统中正在登录的用户的信息,该命令查看的痕迹日志是/var/run/utmp

Linux:系统痕迹命令

字段 说明
USER 登录的用户
TTY 登录的终端号
FROM 登录的IP地址(如果是本地终端,则是空)
LOGIN@ 登录时间
IDLE 用户闲置时间
JCPU 所有的进程占用的CPU时间
PCPU 当前进程占用的CPU时间
WHAT 用户正在进行的操作

who

和w命令类似,用于查看正在登录的用户,但是显示的内容更加简单,也是查看/var/run/utmp日志

Linux:系统痕迹命令

users

用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示多次

Linux:系统痕迹命令

last

查看系统所有登录过的用户的信息,包括正在登录的用户和之前登录的用户,查看的是/var/log/wtmp日志

Linux:系统痕迹命令

lastlog

查看系统中所有用户的最后一次登录时间的命令,查看的是/var/log/lastlog日志

Linux:系统痕迹命令

lastb

查看错误登录的信息,查看的是/var/log/btmp日志

Linux:系统痕迹命令

history

查看当前用户的历史执行命令,保存在~/.bash_history中。

Linux:系统痕迹命令
可以用!行数去执行对应history中的命令。
Linux:系统痕迹命令

Linux:系统痕迹命令

上一篇:linux后台执行命令:&与nohup的用法


下一篇:Linux-CentOS不能yum update/upgrade.除非是初始环境