Linux系统提供了各种日志文件,通过这些日志文件,管理员可以监控自己所建立的保护机制,还可以通过日志观察是否存在系统被入侵的信息。今天跟大家分享日常比较常用的一些日志:
查看当前登录的用户-who
使用who命令可以查看当前已经登录操作系统的用户信息,包括用户名,登录时间和客户端IP等,命令执行如下:
可以看到,当前有两个用户登录,登录的时间一样,IP地址也一样。who命令除了可以查看当前已经登录的用户之外,还可以查看系统其它信息,具体如下:
查看用户历史登录日志-last
Linux系统中用户登录的历史信息保存在两个文件中/var/log/wtmp和/var/log/btmp。其中wtmp保存的是用户登录成功的信息,btmp保存的是用户登录失败的信息,且这两个文件必须通过last和lastb命令来查看。
查看登录成功的信息:
查看用户登录失败的信息:
统计登录成功的次数,可以使用以下命令:
last |awk '{print $3}' | sort | uniq -c |sort -rn
secure安全日志-用户验证,su切换,用户管理相关的日志信息,日志路径/var/log/secure,截图部分内容进行查看:
有什么信息,大家自己可以测试和查看哈,包括用户登录的时间、ip以及一些用户操作等。
messages,保存由syslogd记录的信息,找到xineted网络服务信息等,日志路径是var/log/messages:
cron日志记录cron的定时任务信息,日志路径/var/lg/cron,包括任务发生的时间,用户,进程id以及执行的操作命令等:
history日志记录用户输入的所有命令,在每个用户的家目录下的.bash_history文件中,保存用户输入的所有命令:
当然,对于日志,我们也要注重备份和保留,便于日后的分析和行为跟踪,感谢阅读!
閱讀更多 一不小心7332789 的文章
