1.简介Linux系统提供了全方位的日志记录。Linux对我们登录Linux系统后所做的一切都有相应的日志记录。整个日志系统比较多。这里只介绍三个与登录密切相关的日志。三个日志文件是secure、btmp和wtmp。2.wtmp日志首先介绍wtmp日志文件,它记录了所有登录过系统的用户信息。(PS:只记录正确登录的用户,错误的密码在btmp文件和secure文件中。)该文件地址路径为:var/log/wtmp。wtmp文件是二进制文件,不能被cat或vim读取。它需要最后通过命令读取。示例:[root@iZuf/]#last-Frootpts/0我的IP地址WedNov2308:43:282022仍然登录...rootpts/0我的IP地址WedOct1916:00:282022-2022年10月19日星期三18:16:46(02:16)rootpts/0我的IP地址2022年10月19日星期三09:51:51-2022年10月19日星期三10:42:08(00:50)。默认情况下,..lastname将从wtmp文件中读取数据。所以我们不需要添加wtmp文件路径,但是如果使用last-f,我们需要主动添加wtmp路径。以上数据为:登录名:root。打开终端:pts/0访客IP:我的ip地址(PS:实际ip显示格式为111,111,111,111)登录时间:TueNov1511:17:402022退出时间:TueNov1513:14:022022耗时:(01:56)显示是否仍处于登录状态。表示当前状态仍然是登录状态。如果我们觉得日期显示读起来不直观,可以使用命令last--time-format来格式化日期。例子如下:[root@iZuf/]#last--time-formatiso...rootpts/0我的IP地址2020-08-07T17:05:19+08:00-2020-08-07T17:06:39+08:00(00:01)时间将成为我们可以直接读取的格式。(PS:+08:00只是表示当前日期已经加了时区,并不表示我们需要在显示时间上加8小时)--time-format后面的可选参数有:notime:不显示时间。示例:(13:34)。仅显示登录持续时间。Don'tdisplaythetimeperiodshort:短时间显示。示例:FriNov417:53-18:03(00:09)full:以默认格式显示完整时间。示例:TueNov2213:48:222022-TueNov2217:23:192022(03:34)iso:以iso时间格式显示所有时间。例子:2020-08-07T17:05:19+08:00-2020-08-07T17:06:39+08:00(00:01)这个文件会记录所有的登录记录。如果中间有一个我们不熟悉的ip登录。那么说明账号密码已经泄露了。或其他非法登录。PS:-F命令不能和--time-format一起使用,因为两者都会影响输出的时间格式。3.如果btmp日志说wtmp是记录登录成功的日志。那么btmp就是一个日志,记录了所有尝试登录,但是登录失败。它存放的路径与wtmp文件在同一目录下:/var/log/btmp,btmp也是一个二进制文件。它不能被cat或vim读取。它需要通过命令lastb读取。last:读取wtmp文件lastb:读取btmp文件这两个命令之间有一个字母的区别。不要混淆这两个命令的参数可以说是完全一样的。可以用于last的也可以用于lastb。lastb的命令参数如下:-:显示多少行-a,--hostlast:在最后一列显示主机名-d,--dns:将IP地址转换回主机名-f:使用特定文件而不是/var/log/btmp-F,--fulltimes:打印完整的登录和注销时间和日期-i,--ip:以数字和点符号显示IP号码-n,--limit:显示多少行-R,--nohostname:不显示主机名字段-s,--since
