linux log 查看

日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。

1.如果指明了用户,那么last只报告该用户的近期活动,例如:last root (回车)显示

last root
root     pts/2        10.70.20.92      Tue Mar 30 09:09   still logged in  
root     pts/1        10.70.20.92      Tue Mar 30 08:38 - 10:12  (01:34)   
root     pts/0        10.70.20.92      Tue Mar 30 08:37   still logged in  

root     pts/0        10.70.20.92      Mon Mar 29 16:31 - 17:24  (00:52)   
root     pts/2        10.76.20.9       Mon Mar 29 13:12 - 13:25  (00:12)   
root     pts/1        10.70.20.92      Mon Mar 29 13:08 - 13:50  (00:42)   
root     pts/0        10.70.20.30      Mon Mar 29 08:45 - 13:41  (04:55)   
root     pts/0        10.70.20.30      Fri Mar 26 18:32 - 18:34  (00:02)   
root     pts/3        10.70.20.113     Fri Mar 26 14:29 - 15:40  (01:10)   
root     pts/2        10.70.20.30      Fri Mar 26 14:13 - 17:46  (03:33)   
root     pts/1        10.70.20.92      Fri Mar 26 10:30 - 17:25  (06:54)   
root     pts/0        10.76.20.34      Fri Mar 26 09:41 - 17:21  (07:40)   
root     pts/2        10.70.20.113     Thu Mar 25 16:58 - 17:07  (00:08)   
root     pts/2        10.70.20.30      Thu Mar 25 09:49 - 13:41  (03:51)   
root     pts/1        10.70.20.89      Thu Mar 25 09:28 - 17:18  (07:49)   
root     pts/0        10.76.20.34      Thu Mar 25 08:28 - 18:56  (10:28)   
root     pts/0        10.76.20.34      Wed Mar 24 10:09 - 19:16  (09:07)   
root     pts/1        10.70.20.92      Tue Mar 23 17:09 - 17:09  (00:00)   
root     pts/0        10.70.20.92      Tue Mar 23 17:05 - 17:22  (00:17)   
root     pts/2        10.70.20.92      Tue Mar 23 14:41 - 16:52  (02:11)

2.ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 5177.47

ac -d(回车)显示每天的总的连结时间
Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02
ac -p (回车)显示每个用户的总的连接时间
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24

3.lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示\"**Never logged**。注意需要以root运行该命令,例如:
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
另外,可一加一些参数,例如,last -u 102将报告UID为102的用户;last -t 7表示限制上一周的报告。

posted @ 2010-03-30 14:03  3qfly  阅读(585)  评论(0编辑  收藏  举报