Linux登入日志查询

说明：最近在使用vultr提供的主机的过程中，有一次ssh远程登入突然提示在此次成功登入之前有191次失败的登入。这样一个事件让作为一个服务器小白的我突然心慌，于是查一些资料看看怎么了解这些登入失败的IP地址。

Linux登入信息放置位置

• /var/run/utmp: 记录当前正在登入系统的用户信息

• /var/log/wtmp: 记录当前正在登入和历史登入系统的用户信息，可以使用last命令查看

• /var/log/btmp: 记录失败的登入尝试信息，可以使用lastb命令查看

相关查询命令介绍

lastlog: 列出所有用户最近登入的信息，引用的是/var/log/lastlog文件中的信息。

last: 列出当前和曾经登入系统的用户信息，默认引用/var/log/wtmp文件的信息。可通过-f指定读取/var/log/btmp、/var/run/utmp文件中的信息。

lastb: 列出失败尝试的登入信息，引用的是/var/log/btmp的信息。

ac: 输出所用用户总的连接时间，ac基于/var/log/wtmp文件信息进行统计。

who: 查看当前登入系统的用户信息，who -m相当于who am i。

w: 查看当前登入系统的用户信息及用户当前的进程。w获取的信息来自/var/run/utmp，/proc/。

utmpdump: 可以导出二进制日志文件为文本格式的文件。可以在修改完 文本格式的日志文件之后在导入回二进制日志文件中实现抹除登入信息。（导出: utmpdump /var/log/wtmp > file ；导入: utmpdump -r file > /var/log/wtmp）