linux的ac命令 linux ac( 八 )


命令last有两个可选参数:
last -u 用户名 显示用户上次登录的情况 。
last -t 天数 显示指定天数之前的用户登录情况 。
/var/run/utmp
该 日志文件记录有关当前登录的每个用户的信息 。因此这个文件会随着用户登录和注销系 统而不断变化 , 它只保留当时联机的用户记录,不会为用户保留永久的记录 。系统中需要查询当前用户状态的程序,如 who、w、users、finger等就需要访问这个文件 。该日志文件并不能包括所有精确的信息 , 因为某些突发错误会终止用户登录会话,而系统没有及时 更新 utmp记录 , 因此该日志文件的记录不是百分之百值得信赖的 。
以 上提及的3个文件(/var/log/wtmp、/var/run/utmp、 /var/log/lastlog)是日志子系统的关键文件,都记录了用户登录的情况 。这些文件的所有记录都包含了时间戳 。这些文件是按二进制保存的,故 不能用less、cat之类的命令直接查看这些文件,而是需要使用相关命令通过这些文件而查看 。其中,utmp和wtmp文件的数据结构是一样的,而 lastlog文件则使用另外的数据结构 , 关于它们的具体的数据结构可以使用man命令查询 。
每 次有一个用户登录时,login程序在文件lastlog中查看用户的UID 。如果存在 , 则把用户上次登录、注销时间和主机名写到标准输出中,然后 login程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录 。该记录一直用到用户登录退出时删除 。utmp文件被各种 命令使用,包括who、w、users和finger 。
下一步,login程序打开文件wtmp附加用户的utmp记录 。当用户登录退出时,具有更新时间戳的同一utmp记录附加到文件中 。wtmp文件被程序last使用 。
/var/log/xferlog
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件 。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用 。
该 文件的格式为:第一个域是日期和时间,第二个域是下载文件所花费的秒数、远程系统 名称、文件大小、本地路径名、传输类型(a:ASCII,b:二进制)、与压缩相关的标志或tar,或"_"(如果没有压缩的话)、传输方向(相对于服务 器而言:i代表进 , o代表出)、访问模式(a:匿名,g:输入口令 , r:真实用户)、用户名、服务名(通常是ftp)、认证方法(l:RFC931,或 0),认证用户的ID或"*" 。下面是该文件的一条记录:
Wed Sep 4 08:14:03 2002 1 UNIX 275531
/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
/var/log/kernlog
RedHat Linux默认没有记录该日志文件 。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog。这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能 。该文件记录了系统启动时加载设备或使用设备的情况 。一般是正常的操作,但如果记录了没有授权的用户进行的这些操作,就要注意,因为有可能这就是恶意用户的行为 。下面是该文件的部分内容:
Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).

推荐阅读