Linux系统中有好多重要的日志文件，这种文件可以保存好多访问Linux的日志记录，这种日志大多储存在/var/log目录下和/run目录下，然而这种日志中，有些并不能使用cat，vi如何查看linux系统日志，more等命令打开，而是须要用到一些特殊的命令，这儿简单做介绍。

Linux日志文件说明

/var/log/message系统启动后的信息和错误日志，是RedHatLinux中最常用的日志之一

/var/log/secure与安全相关的日志信息

/var/log/maillog与电邮相关的日志信息

/var/log/cron与定时任务相关的日志信息

/var/log/spooler与UUCP和news设备相关的日志信息

/var/log/boot.log守护进程启动和停止相关的日志消息

/var/log/wtmp该日志文件永久记录每位用户登入、注销及系统的启动、停机的风波

一、w命令

w命令用于显示目前登录系统的用户信息。

执行这项指令可获知目前登录系统的用户有什么人，以及她们正在执行的程序。

单独执行w指令会显示所有的用户，您也可指定用户名称linux模拟，仅显示某位用户的相关信息。

句型：w[-fhlsuV][用户名称]

参数说明：

-f开启或关掉显示用户从何处登录系统。

-h不显示各栏位的标题信息列。

-l使用详尽格式列表，此为预设值。

-s使用简约格式列表，不显示用户登录时间，终端机阶段作业和程序所花费的CPU时间。

-u忽视执行程序的名称，以及该程序花费CPU时间的信息。

-V显示版本信息。

实例：

1、1、显示目前登录系统的所有用户信息，不加任何参数

第一行信息输出内容和使用uptime命令输出一样，它包含的列信息说明如下：

12:30:08-当前系统时间.

up2:14-系统运行时长.

3users-登入用户数.

loadaverage:0.00,0.01,0.05-系统过去1，5，15分钟的平均负载信息。平均系统负载是对当前正在运行或正在等待c盘I/O的作业数的测度。它基本上告诉您系统在给定间隔内的忙碌程度。

第二行信息包括如下数组说明:

USER–登录用户名.

TTY–登录用户使用的终端名.

FROM–登录用户来源的主机名或IP地址.

LOGIN@–用户登入时长.

IDLE–自用户上一次与终端进行交互以来的空闲时间.

JCPU–附加到tty的所有进程使用的时间.

PCPU–用户当前进程所用的时间。显示在“WHAT”字段中的那种.

WHAT–用户当前的进程及选项/参数。

2、显示某个用户，目前登录系统的信息，则输出将限于给定的用户

二、who命令

who命令用于显示系统中有什么使用者正在里面，显示的资料包含了使用者ID、使用的终端机、从哪边连上来的、上线时间、呆滞时间、CPU使用量、动作等等。

使用权限：所有使用者都可使用。

句型：who-[husfV][user]

参数说明：

-H或--heading：显示各栏位的标题信息列；

-i或-u或--idle：显示闲置时间，若该用户在前一分钟之内有进行任何动作，将标识成"."号，假如该用户已超过24小时没有任何动作，则标识出"old"字符串；

-m：此参数的疗效和指定"ami"字符串相同；

-q或--count：只显示登录系统的账号名称和总人数；

-s：此参数将忽视不予处理，仅负责解决who指令其他版本的兼容性问题；

-w或-T或--mesg或--message或--writable：显示用户的信息状态栏；

实例：

1、显示当前登入系统的用户

[root@centos7~]#who

roottty12020-01-1110:15

rootpts/02020-01-1110:16(192.168.198.1)

lisipts/12020-01-1112:30(192.168.198.1)

2、只显示当前用户

[root@centos7~]#who-m-H

名称线路时间备注

rootpts/02020-01-1110:16(192.168.198.1)

[root@centos7~]#whoami

root

输入whoami显示自己的登入的用户名。

三、last命令

last命令用于显示近日用户或终端的登入情况。通过last命令查看该程序的log，管理员可以得知谁以前或则试图联接系统。

执行last命令时，它会读取/var/log目录下名称为wtmp的文件，并把该文件记录的登陆系统或终端的用户名单全部显示下来。默认显示wtmp的记录，btmp能显示的更详尽，可以显示远程登陆，比如ssh登陆。

句型：last[-num|-nnum][-ffile][-tYYYYMMDDHHMMSS][-R][-adioxFw][username..][tty..]

-num|-nnum指定输出记录的条数

-ffile指定记录文件作为查询的log文件

-tYYYYMMDDHHMMSS显示指定时间之前的登陆情况

username帐户名称

tty终端机编号

选项：

-R不显示登陆系统或终端的主机名称或IP

-a将登陆系统或终端的主机名过IP地址显示在最后一行

-d将IP地址转成主机名称

-I显示特定IP登入情况。

-o读取有linux-libc5应用编撰的旧类型wtmp文件

-x显示系统关掉、用户登入和退出的历史

-F显示登陆的完整时间

-w在输出中显示完整的用户名或域名

实例：

第一列：用户名

第二列：终端位置（pts/0伪终端，意味着从SSH或telnet等工具远程联接的用户，图形界面终端归于这种。tty0直接联接到计算机或本地联接的用户。前面的数字代表联接编号）

第三列：登入IP或内核（假如是：0.0或则哪些都没有，意味着用户通过本地终端联接。不仅重启活动，内核版本会显示在状态中）

第四列：开始时间

第五列：结束时间（stillloginin仍未退出linux vps，down直至正常死机，crash直至强制死机）

第六列：持续时间

1、指定显示记录的数目（显示记录中最后登陆的数目）

[root@centos7~]#last-n10

lisipts/1192.168.198.1SatJan1112:30stillloggedin

rootpts/0192.168.198.1SatJan1110:16stillloggedin

roottty1SatJan1110:15stillloggedin

rebootsystemboot3.10.0-957.el7.xSatJan1110:15-12:53(02:37)

rootpts/1192.168.198.1FriJan1022:08-23:24(01:15)

rootpts/0192.168.198.1FriJan1014:07-crash(20:07)

roottty1FriJan1014:07-23:24(09:17)

rebootsystemboot3.10.0-957.el7.xFriJan1014:07-12:53(22:46)

rootpts/0192.168.198.1TueJan720:33-down(02:38)

rootpts/1192.168.198.1TueJan718:44-20:56(02:11)

wtmpbeginsSunDec120:35:352019

2、指定查询的文件，起初默认的是wtmp

[root@centos7~]#last-10-f/var/log/btmp

roottty1SatJan410:06gone-nologout

roottty1FriJan315:35-10:06(18:30)

roottty1FriJan315:18-15:35(00:17)

roottty1FriJan315:18-15:18(00:00)

rootssh:notty192.168.198.1FriJan315:18gone-nologout

btmpbeginsFriJan315:18:012020

3、显示指定时间之前的记录

[root@centos7~]#last-5-t200

rootpts/1192.168.198.1FriJan1022:08-23:24(01:15)

rootpts/0192.168.198.1FriJan1014:07gone-nologout

roottty1FriJan1014:07-23:24(09:17)

rebootsystemboot3.10.0-957.el7.xFriJan1014:07-12:56(22:49)

rootpts/0192.168.198.1TueJan720:33-down(02:38)

wtmpbeginsSunDec120:35:352019

四、lastlog命令

lastlog命令用于显示系统中所有用户近来一次登入信息。

lastlog文件在每次有用户登入时被查询。可以使用lastlog命令检测某特定用户下次登陆的时间，并低格输出先前登陆日志/var/log/lastlog的内容。它依据UID排序显示登陆名、端标语（tty）和先前登陆时间。假如一个用户未曾登陆过，lastlog显示**Neverlogged**。

注意：须要以root身分运行该命令。

句型：lastlog(选项)

常用参数：

-b显示指定天数前的登陆信息

-t显示指定天数以来的登陆信息

-u显示指定用户的近来登陆信息

-h显示召集令的帮助信息

实例：

1、显示系统中所有用户近来一次登陆信息

[root@centos7~]#lastlog

用户名端口来自最后登录时间

rootpts/0192.168.198.1六1月1110:16:19+08002020

bin**未曾登陆过**

daemon**未曾登陆过**

adm**未曾登陆过**

lp**未曾登陆过**

sync**未曾登陆过**

shutdown**未曾登陆过**

halt**未曾登陆过**

mail**未曾登陆过**

operator**未曾登陆过**

games**未曾登陆过**

ftp**未曾登陆过**

nobody**未曾登陆过**

systemd-network**未曾登陆过**

dbus**未曾登陆过**

polkitd**未曾登陆过**

abrt**未曾登陆过**

sshd**未曾登陆过**

postfix**未曾登陆过**

chrony**未曾登陆过**

apache**未曾登陆过**

lisipts/1192.168.198.1六1月1112:30:01+08002020

2、显示指定天数以来的登陆信息

[root@centos7~]#lastlog-t3

用户名端口来自最后登录时间

rootpts/0192.168.198.1六1月1110:16:19+08002020

lisipts/1192.168.198.1六1月1112:30:01+08002020

3、显示指定用户的近来登陆信息

[root@centos7~]#lastlog-ulisi

用户名端口来自最后登录时间

lisipts/1192.168.198.1六1月1112:30:01+08002020

五、lastb命令

lastb命令用于列举登陆系统失败的用户相关信息。

单独执行lastb指令，它会读取坐落/var/log目录下，名称为btmp的文件，并把该文件内容记录的登陆失败的用户名单如何查看linux系统日志，全部显示下来。

句型：lastb[-adRx][-f][-n][账号名称...][终端机编号...]

参数说明：

-a把从何处登陆系统的主机名称或IP地址显示在最后一行。

-d将IP地址转换成主机名称。

-f指定记录文件。

-n或-设置列举名单的显示列数。

-R不显示登录系统的主机名称或IP地址。

-x显示系统死机，重新开机，以及执行等级的改变等信息。

实例：

1、显示登陆失败的用户

[root@centos7~]#lastb

roottty1SatJan410:06-10:06(00:00)

roottty1FriJan315:35-15:35(00:00)

roottty1FriJan315:18-15:18(00:00)

roottty1FriJan315:18-15:18(00:00)

rootssh:notty192.168.198.1FriJan315:18-15:18(00:00)

btmpbeginsFriJan315:18:012020

站在高手的脖子上，每晚进步一点点

ends~

本文原创地址：https://www.linuxprobe.com/lxtzyhdcydrz.html编辑：刘遄，审核员：暂无