linux下的日誌文件

⑴ log文件指什麼linux日誌文件有哪些

在Linux操作系統中，log文件代表著日誌文件，就是記錄系統活動信息的文件，比如：某時、某IP、某時間、進行的某種操作等。此外，在Linux系統中，我們還可以通過tail、cat、tac、head等命令來查看日誌，那麼Linux系統中log文件是什麼意思?本文為大家詳細解答一下。

Linux系統中log文件是什麼意思?

在Linux中，log文件是指日誌文件，是重要的系統信息文件，其中記錄了許多重要的系統事件，包括用戶的登錄信息、系統的啟動信息、系統的安全信息、郵件相關信息、各種服務相關信息等。這些信息有些非常敏感，所以在Linux中這些日誌文件只有root用戶可以讀取。

log文件存放在/var/log/目錄下，該目錄是系統日誌文件的保存位置;除此之外，採用RPM包方式安裝的系統服務也會默認把日誌記錄在/var/log/目錄中。

Linux日誌文件說明

①/var/log/messages：該文件記錄著伺服器系統發生的所有錯誤信息或重要的信息，所以這個文件相當重要，如果系統發生莫名的錯誤時，這個文件是必查的日誌文件之一。

②/var/log/secure：該文件記錄伺服器牽扯到需要輸入賬號密碼的軟體，當登入時都會被記錄到這個文件中，包括系統的login程序、圖形界面登入所使用的gdm程序、su、sudo等程序，還有網路遠程的ssh、telnet等程序，登入信息都會被記載。

③/var/log/maillog：該文件記錄伺服器郵件的來往信息，其實主要記錄SMTP和POP3協議提供者所產生的信息。

④/var/log/cron：與定時任務相關的日誌信息。

⑤/var/log/spooler：與UUCP和news設備相關的日誌信息。

⑥/var/log/boot.log：守護進程啟動和停止相關的日誌信息。

⑦/var/log/wtmp：該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。

⑵ Linux裡面日誌放在哪個文件夾下

大部分Linux發行版默認的日誌守護進程為 syslog，位於 /etc/syslog 或 /etc/syslogd，默認配置文件為 /etc/syslog.conf，任何希望生成日誌的程序都可以向 syslog 發送信息。而Fedora、Ubuntu，、rhel6、centos6以上版本默認的日誌系統都是rsyslog，rsyslog是syslog的多線程增強版。Linux學習的話《Linux就該這么學》參考下

⑶ linux中日誌文件存在哪裡

日誌文件通常保存在/var/log目錄下。

下面是幾個重要的日誌文件：

/var/log/messages：包括整體系統信息，其中也包含系統啟動期間的日誌。

/var/log/syslog：它和/etc/log/messages日誌文件不同，它只記錄警告信息，常常是系統出問題的信息。

/var/log/user.log：記錄所有等級用戶信息的日誌。/var/log/auth.log：包含系統授權信息，包括用戶登錄和使用的許可權機制等。

(3)linux下的日誌文件擴展閱讀：

日誌文件分為事件日誌和消息日誌。

事件日誌

事件日誌記錄在系統的執行中發生的事件，以便提供可用於理解系統的活動和診斷問題的跟蹤。 它們對理解復雜系統的活動至關重要，特別是在用戶交互較少的應用程序中。

它還可以用於組合來自多個源的日誌文件條目。 這種方法與統計分析相結合，可以產生不同伺服器上看起來不相關的事件之間的相關性。 其他解決方案採用網路范圍的查詢和報告。

消息日誌

互聯網中繼聊天（IRC），即時消息（IM）程序，具有聊天功能的對等文件共享客戶端和多人游戲（特別是MMORPG）通常具有自動記錄（即保存）文本通信的能力。

消息日誌幾乎是通用的純文本文件，但是IM和VoIP客戶端（其支持文本聊天，例如Skype）可以將它們保存在HTML文件中或以自定義格式以便於閱讀和加密。

參考資料：網路——日誌文件

⑷ 如何查看linux系統下的各種日誌文件 linux 系統日誌的分析大全

日誌文件詳細地記錄了系統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審核和監測。
Linux系統的日誌主要分為兩種類型：
1．進程所屬日誌
由用戶進程或其他系統服務進程自行生成的日誌，比如伺服器上的access_log與error_log日誌文件。
2．syslog消息
系統syslog記錄的日誌，任何希望記錄日誌的系統進程或者用戶進程都可以給調用syslog來記錄日誌。
日誌系統可以劃分為三個子系統：
1． 連接時間日誌--由多個程序執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。
2． 進程統計--由系統內核執行。當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
3． 錯誤日誌--由syslogd（8）執行。各種系統守護進程、用戶程序和內核通過syslog（3）向文件/var/log/messages報告值得注意的事件。
2．察看日誌文件
Linux系統所有的日誌文件都在/var/log下，且必須有root許可權才能察看。
日誌文件其實是純文本的文件，每一行就是一個消息。察看方式有很多。
1． cat命令。日誌文件總是很大的，因為從第一次啟動Linux開始，消息都累積在日誌文件中。如果這個文件不只一頁，那麼就會因為顯示滾動得太快看不清文件的內容。
2． 文本編輯器。最好也不要用文本編輯器打開日誌文件，這是因為一方面很耗費內存，另一方面不允許隨意改動日誌文件。
3．用more或less那樣的分頁顯示程序。
4．用grep查找特定的消息。
每一行表示一個消息，而且都由四個域的固定格式組成：
n 時間標簽（timestamp），表示消息發出的日期和時間
n 主機名（hostname）（在我們的例子中主機名為escher），表示生成消息的計算機的名字。如果只有一台計算機，主機名就可能沒有必要了。但是，如果在網路環境中使用syslog，那麼就可能要把不同主機的消息發送到一台伺服器上集中處理。
n 生成消息的子系統的名字。可以是"kernel"，表示消息來自內核，或者是進程的名字，表示發出消息的程序的名字。在方括弧里的是進程的PID。
n 消息（message），剩下的部分就是消息的內容。
舉例：
在[root@localhost root]# 提示符下輸入：tail /var/log/messages
Jan 05 21:55:51 localhost last message repeated 3 times
Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M
B
Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor
0
Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz
e(0x12c000) boundary
Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f
or user root by (uid=0)
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動（版本 2.
2.0），pid 4162 用戶"root"
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.mandatory"指向位於 0 的只讀配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adwrite:/root/.gconf"指向位於 1 的可寫入配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.defaults"指向位於 2 的只讀配置源
Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936

值得注意的是，與連接時間日誌不同，進程統計子系統默認不激活，它必須啟動。在Linux
系統中啟動進程統計使用accton命令，必須用root身份來運行。accton命令的形式為：accton
file，file必須事先存在。先使用touch命令創建pacct文件：touch
/var/log/pacct，然後運行accton：accton
/var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何
參數的accton命令。
3．日誌系統工作原理及配置
3.1 syslog
它同closelog, openlog共同給system logger發送消息。
Linux內核由很多子系統組成，包括網路、文件訪問、內存管理等。子系統需要給用戶傳送一些消息，這些消息內容包括消息的來源及其重要性等。所有的子系統都要把消息送到一個可以維護的公用消息區。於是，就有了一個叫Syslog的程序。

這個程序負責接收消息（比如：系統核心和許多系統程序產生的錯誤信息、警告信息和其他信息，每個信息都包括重要級），並把消息分發到合適的地方。通常情況
下，所有的消息都被記錄到特定的文件——日誌文件中（通常是/var/adm或/var/log目錄下的messages文件），特別重要的消息也會在用
戶終端窗口上顯示出來。
syslog工具有兩個重要文件：syslogd和syslog.Conf
它能接受訪問系統的日誌信息並且根據 "/etc/syslog.conf" 配置文件中的指令處理這些信息。守護進程和內核提供了訪問系統的日誌信息。因此，任何希望生成日誌信息的程序都可以向 syslog 介面呼叫生成該信息。
3.2 syslogd守護進程

就象其它復雜的操作系統那樣，Linux也是由很多不同的子系統組成的。有些叫做daemon的程序一直在後台運行（daemon：守護神之意。也就是
說，他們"默默無聞"，不需要和用戶交互），處理一些象列印、發送郵件、建立Internet連接，等等日常工作。每一個子系統發出日誌消息的時候都會給
消息指定一個類型。一個消息分成兩個部分："設備（facility）"和"級別(level)"。"設備"標識發出消息的子系統，可以把同一類型的消息組合在一起，"級別"表示消息的重要性，其范圍從debug（最不重要）到emerg（最重要），facility和level組合起來稱為priority。（詳細解釋參照5.3）
/usr/include/sys/syslog.h中對此有相關的定義。
用戶看不到daemon程序，因為它們沒有窗口和用戶界面。但是，這些程序有時候也要給用戶傳遞一些信息。為了實現這個目的，就需要一個特殊的機制。syslogd就是daemon的一個很好的例子，它在後台運行並且把消息從日誌區轉移到日誌文件中去。
函數介面
#include
void openlog( char * , int , int )
其中，可以是以下值的OR組合：
LOG_CONS : 如果消息無法送到syslogd，直接輸出到系統console。
LOG_NDELAY : 立即打開到syslogd的連接，默認連接是在第一次寫入訊息時才打開的。
LOG_PERROR : 將消息也同時送到stderr 上
LOG_PID : 將PID記錄到每個消息中
void syslog( int , char * )
其中，是facility和level的OR組合
void closelog( void )
一般只需要用syslog()函數，其他函數可以不用。
3.3 syslog.conf
這是一個非常重要的文件。位於"/etc/"目錄下。通知 syslogd 如何根據設備和信息重要級別來報告信息。
該文件使用下面的形式：
facility.level action
syslog.conf 的第一列facility.level用來指定日誌功能和日誌級別，中間用.隔開，可以使用*來匹配
所有的日誌功能和日誌級別。第二列action是消息的分發目標。
空白行和以#開頭的行是注釋，可以忽略。
Facility.level 欄位也被稱做選擇域（seletor）。
n facility 指定 syslog 功能，主要包括以下這些：
auth 由 pam_pwdb 報告的認證活動。
authpriv 包括特權信息如用戶名在內的認證活動
cron 與 cron 和 at 有關的信息。
daemon 與 inetd 守護進程有關的信息。
kern 內核信息，首先通過 klogd 傳遞。
lpr 與列印服務有關的信息。
mail 與電子郵件有關的信息
mark syslog 內部功能用於生成時間戳
news 來自新聞伺服器的信息
syslog 由 syslog 生成的信息
user 由用戶程序生成的信息
uucp 由 uucp 生成的信息
local0----local7 與自定義程序使用，例如使用 local5 做為 ssh 功能
* 通配符代表除了 mark 以外的所有功能
level 級別，決定訊息的重要性。
與每個功能對應的優先順序是按一定順序排列的，emerg 是最高級，其次是 alert，依次類推。預設時，在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號！(不等)和=。
例如：user.=info 表示告知 syslog 接受所有在 info 級別上的 user 功能信息。
n 以下的等級重要性逐次遞減:
emerg 該系統不可用
alert 需要立即被修改的條件
crit 阻止某些工具或子系統功能實現的錯誤條件
err 阻止工具或某些子系統部分功能實現的錯誤條件
warning 預警信息
notice 具有重要性的普通條件
info 提供信息的消息
debug 不包含函數條件或問題的其他信息
none 沒有重要級，通常用於排錯
* 所有級別，除了none
n action 欄位為動作域，所表示的活動具有許多靈活性，特別是，可以使用名稱管道的作用是可以使 syslogd 生成後處理信息。
syslog 主要支持以下活動：
file 將消息追加到指定的文件尾
terminal 或 print 完全的串列或並行設備標志符
@host 遠程的日誌伺服器
username 將消息寫到指定的用戶
named pipe 指定使用 mkfifo 命令來創建的 FIFO 文件的絕對路徑。
* 將消息寫到所有的用戶
選擇域指明消息的類型和優先順序；動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先順序組成。當指明一個優先順序時，syslogd將紀錄一個擁有相同或更高優先順序的消息。比如如果指明"crit"，則所有標為crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到什麼地方。
以下是一個實際站點的配置（syslog.conf）文件：
# Store critical stuff in critical
#
*.=crit;kern.none /var/adm/critical
這個將把所有信息以優先權的crit保存在/var/adm/critical文件中，除了一些內核信息
# Kernel messages are first, stored in the kernel
# file, critical messages and higher ones also go
# to another host and to the console
#
kern.* /var/adm/kernel
kern.crit @finlandia
kern.crit /dev/console
kern.info;kern.!err /var/adm/kernel-info
第一條代碼指引一些內核設備訪問文件/var/adm/kernel的信息。
第二條代碼直接引導所有擁有crit和更高優先權的內核信息訪問遠程主機。如果它們也存儲在遠程主機上，仍舊可以試著找到毀壞的原因。
第四行說明syslogd 保存了所有擁有info 到warning優先順序的內核信息在/var/adm/kernel-info文件夾下。所有err和更高優先順序的被排除在外。
# The tcp wrapper loggs with mail.info, we display
# all the connections on tty12
#
mail.=info /dev/tty12
這個引導所有使用mail.info (in source LOG_MAIL | LOG_INFO)的信息到/dev/tty12下，第12
個控制台。例如tcpwrapper
tcpd
(8)載預設時使用這個
# Store all mail concerning stuff in a file
mail.*;mail.!=info /var/adm/mail
模式匹配了所有具有mail功能的信息，除了擁有info優先順序的。他們將被保存在文件/var/adm/mail中
# Log all mail.info and news.info messages to info
#
mail,news.=info /var/adm/info
提取所有具有mail.info 或news.info 功能優先順序的信息存儲在文件/var/adm/info中
# Log info and notice messages to messages file
#
*.=info;*.=notice;\
mail.none /var/log/messages
使所有syslogd日誌中具有info 或notice功能的信息存儲在文件/var/log/messages中，除了所有mail功能的信息
# Log info messages to messages file
#
*.=info;\
mail,news.none /var/log/messages
這個聲明使syslogd日誌中所有具有info優先權的信息存儲在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存儲。
# Emergency messages will be displayed using wall
#
*.=emerg *
這行代碼告訴syslogd寫所有緊急信息到所有當前登陸用戶日誌中。這個將被實現
# Messages of the priority alert will be directed
# to the operator
#
*.alert root,joey
*.* @finlandia
這個代碼指引所有具有alert 或更高級許可權的信息到終端操作。
第二行代碼引導所有信息到叫做finlandia的遠程主機。這個代碼非常有用，特別是在所有syslog信息將被保存到一台機器上的群集計算機。
3.4 klogd 守護進程
klog是一個從UNIX內核接受消息的設備
klogd
守護進程獲得並記錄 Linux 內核信息。通常，syslogd 會記錄 klogd
傳來的所有信息。也就是說，klogd會讀取內核信息，並轉發到syslogd進程。然而，如果調用帶有 -f filename 變數的 klogd
時，klogd 就在 filename 中記錄所有信息，而不是傳給 syslogd。當指定另外一個文件進行日誌記錄時，klogd
就向該文件中寫入所有級別或優先權。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用
syslogd 的好處在於可以查找大量錯誤。
總結
其中，箭頭代表發送消息給目標進程或者將信息寫入目標文件。

圖1 Linux日誌系統
日誌管理及日誌保護

logrotate程序用來幫助用戶管理日誌文件，它以自己的守護進程工作。logrotate周期性地旋轉日誌文件，可以周期性地把每個日誌文件重命名
成一個備份名字，然後讓它的守護進程開始使用一個日誌文件的新的拷貝。在/var/log/下產生如maillog、maillog.1、
maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅動，該文件是
/etc/logroatate.conf。
以下是logroatate.conf文件例子：
# see "man logrotate" for details
# rotate log files weekly
weekly
#以7天為一個周期
# keep 4 weeks worth of backlogs
rotate 4
#每隔4周備份日誌文件
# send errors to root
errors root
#發生錯誤向root報告
# create new (empty) log files after rotating old ones
create
#轉完舊的日誌文件就創建新的日誌文件
# uncomment this if you want your log files compressed
#compress
#指定是否壓縮日誌文件
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
# system-specific logs may be configured here

在網路應用中，有一種保護日誌的方式，在網路中設定一台秘密的syslog主機，把這台主機的網卡設為混雜模式，用來監聽子網內所有的syslog包，這
樣把所有需要傳送日誌的主機配置為向一台不存在的主機發送日誌即可。這樣即使黑客攻陷了目標主機，也無法通過syslog.conf文件找到備份日誌的主
機，那隻是一個不存在的主機。實際操作中還可以輔以交換機的配置，以確保syslog包可以被備份日誌主機上的syslog進程接受到。比如把
syslog.conf中的傳送日誌主機設為
@192.168.0.13，但實際網路中不存在這個日誌主機，實際可能是192.168.0.250或者其他主機正在接受syslog包。

⑸ linux重啟後系統日誌還在嗎

是的，linux重啟後系統日誌還在。當linux系統重啟時，系統會將上次運行的所有信息都記錄在系統日誌中。即使重弊伏陸啟了系統，系統日誌中的信息仍然存在，這些信息包括系統開機時間、程序廳鬧和服務的啟動時間、錯誤信息以及訪問控制租頃的操作等等。當我們想查看系統運行狀態時，可以查看系統日誌，以便更好地了解系統運行情況。這樣，即使重啟了系統，系統日誌中的信息也可以被完整地保存下來，以備查閱和分析。

⑹ 4-9 Linux 中的日誌分析

日誌：系統、軟體 和 用戶操作交互信息的記錄文件。用於系統審核，日常故障快速定位和排錯。

日誌文件保存在 /var/log 和 /var/run 目錄下。在 RedHat 7 中，系統日誌消息由兩個服務負責處理，它們是 systemd-journald 和 rsyslogd。

日誌的保存時間系統默認是4周，可以通過 cat /etc/logrotate.conf 裡面的一項參數查到。rotate 可以修改。

主要日誌文件介紹：

/var/log/messages：系統日誌，主要記錄內核和公共消息。

/var/log/cron：計劃執行任務日誌。

/var/log/dmesg：系統引導日誌。

/var/log/maillog：郵件日誌。

/var/log/lastlog：用戶登錄日誌。（用 lastlog 命令）

/var/log/boot.log：系統啟動日誌。

/var/log/secure：安全和身份驗證日誌 。

/var/log/wtmp：記錄所有用戶登錄的詳細信息。（用 last 命令）

/var/log/btmp：記錄失敗的登錄記錄（用 lastb 命令）

/var/run/utmp：用戶登錄、注銷及系統開、關等事件。（用 w / who 命令）

（wtmp、btmp 和 utmp 是二進制文件，不能用cat、vi、tail、more這些命令打開查看）

1、/var/log/messages：系統日誌，主要記錄內核和公共消息。

1）、messages 信息項包括：事件發生的日期和時間、主機，終端名、進程 和 事件日誌。

2）、紅色下劃線：systemctl restart sshd 重啟 sshd 服務。

黃色下劃線：tail /var/log/messages 查看 messages 日誌。

藍色方框：messages 日誌已經可以查到重啟 sshd 服務的記錄。

綠色下劃線：每個動作都記錄得很清楚。暫停中（Stopping）、已暫停（Stopped）、啟動中（Starting） 和 已啟動（Started）

2、/var/log/cron：計劃執行任務日誌。

1）、cron 信息項包括：事件發生的日期和時間、主機，終端名、進程 和 事件日誌。

2）、cron 保存的是計劃任務的日誌，我們也可以通過特定輸出查看計劃進程的一些規律。從中也可以梳理一下計劃任務的概念。好像 run-parts(/etc/cron.hourly) 進程，基本都是從開機開始，整點 1 個小時就執行一次。一次由兩個事件為一組，一條 starting 0anacron ，另一條 finished 0anacron。

輸入 grep run-parts'('/etc/cron.hourly')' 的時候，（）括弧需要用單引號引起來。 

CROND進程，基本上也是從開機開始，整點 1 個小時就執行一次。

run-parts(/etc/cron.daily) 進程每天開機執行一次。一次由四個事件為一組，四個事件裡面有兩個事件是對應關系。starting man-db.cron 對應 finished man-db.cron，starting logrotate 對應 finished logrotate。

從 cron 日誌知道系統的計劃任務什麼時候觸發，執行了什麼事件，產生了什麼信息。 

3、/var/log/dmesg：系統引導日誌，顯示硬體相關的信息。

head -20 dmesg | nl 列出開頭 20 行信息。

4、/var/log/maillog：郵件日誌。

紅色下劃線：tail maillog 查看 maillog 後 10 行信息。

黃色下劃線：starting the Postfix mail system 啟動 Postfix 郵件系統。daemon started 守護進程啟動完成。

maillog 記錄的信息都是和郵件有關。

5、/var/log/lastlog：記錄所有用戶登錄最後一次登錄本系統的時間信息。用 lastlog 讀取信息。lastlog 的幾列內容：Username（用戶名）、Port（埠）、From（登錄IP）、Latest（最後登錄時間）。

系統用戶是調用系統當中一些特殊服務的用戶，不能登錄系統（所以它們的登錄狀態都是顯示「**Never logged in**」從來沒有登錄）。能夠登錄系統的只有 root 和 新建的普通用戶。

6、/var/log/boot.log：系統啟動日誌。

head /var/log/boot.log 列出頭 10 條系統啟動的信息（內容較長，裡面記錄了多次啟動的信息）。

通過 3 次的重啟，查看 boot.log 大小。每重啟一次文件的容量就會增大。也證明了每次啟動都會往 boot.log 這個文件寫信息。

7、/var/log/secure：安全和身份驗證日誌 。

tail secure 列出 secure 文件最後 10 行信息。通過 secure 的信息可以發現記錄的是安全相關的信息，記錄最多的是哪些用戶登錄伺服器的相關日誌。

黃色下劃線：Failed password for root —— root 的密碼錯誤。

紅色下劃線：Accepted password for root —— 密碼正確，root 用戶接受的密碼。

綠色下劃線：pam_unix(sshd:session): session opened for user root  —— 為 root 用戶建立會話。

8、/var/log/wtmp：記錄所有用戶登錄的詳細信息。一個二進制文件，不能用cat、vi、tail、more這些命令打開查看。用 last 命令查看。last 作用是顯示近期用戶或終端登錄的情況（包括：登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，）

last -n 10 —— -n 跟一個數字，指定顯示最近登錄的數據。（或者 last -10 一樣效果）

顯示的內容有六列：

第一列：用戶名。

第二列：終端位置。（pts/0 偽終端，SSH 或 telnet 等工具遠程連接的用戶，tty0 直接連接到計算機或本地連接的用戶，後面的數字代表連接編號）。

第三列：登錄 IP 或 內核。（如果是 0.0 或者 什麼都沒有，意味著用戶通過本地終端連接，除了啟動活動，內核版本會顯示在狀態中）。

第四列：開始時間。

第五列：結束時間。（still、login in 尚未推出，down 直到正常關機，crash 直到強制關機）。

第六列：持續時間。

9、/var/log/btmp：記錄失敗的登錄記錄，主要查看錯誤的登錄信息。一個二進制文件，不能用cat、vi、tail、more這些命令打開查看。用 lastb 命令查看。

lastb -n 10 —— -n 跟一個數字，指定顯示最近登錄的數據。（或者 lastb -10 一樣效果）

顯示的內容有六列：

第一列：用戶名。

第二列：終端位置。（連接失敗：notty）。

第三列：登錄 IP。

第四列：開始時間。

第五列：結束時間。

第六列：持續時間。

10、/var/run/utmp：用戶登錄、注銷及系統開、關等事件。一個二進制文件，不能用cat、vi、tail、more這些命令打開查看。用 w / who 命令查看。

w 命令：查看登錄者的信息及行為。

第一行：系統當前時間、系統沒有中斷持續性的運行時間、當前登錄用戶數、CPU在之前 1 分鍾、5分鍾、15分鍾的平均負載。

USER： 登錄用戶名。

TTY：登錄後系統分配的終端號。（tty：物理機本機終端、pts：遠程終端） 

 FROM：遠程主機名 IP。（tty 物理機本機不顯示、pts 遠程終端會顯示 IP） 

 LOGIN@ ：登錄時間。

 IDLE：用戶閑置時間 。這是個計時器，用戶執行任何操作，計時器就會被重置。（這里顯示的時間是距離上次命令操作後多久沒有進行操作的閑置時間）

 JCPU：執行命令進程所消耗的總時間。 終端連接的所有進程佔用時間，包括當前正在運行作業佔用的時間。

 PCPU：當前進程所消耗 CPU 的時間。 

WHAT：用戶正在運行的進程 或 命令。（-bash 進程是終端進程）

who 命令：顯示關於當前在本地系統上的所有用戶信息。who 和 w 差不多，who 顯示的內容更為簡潔。who 命令顯示以下內容：登錄名、tty、登錄日期 和 時間。如果用戶是從遠程終端登錄的，那麼該終端的 IP 也會顯示出來。

11、whoami：顯示自己的登錄用戶。