檢視使用者登入系統的日誌
有兩類日誌記錄使用者登入的行為,一是記錄登入者的資料,一個是記錄使用者的登入時間
一,記錄使用者登入資料
/var/log/wtmp日誌檔案記錄使用者登入的資料。但這個檔案是被編碼的檔案,不能直接用vi、cat等命令檢視,可以用last命令讀取。每一次登入就會產生一條記錄,包括使用者名稱、登入端、時間跨度等資訊,如下:
www.2cto.com
[html]
[root@bogon ~]# last
root pts/1 :0.0 Wed Oct 24 03:03 still logged in
root :0 Wed Oct 24 03:02 still logged in
root :0 Wed Oct 24 03:02 - 03:02 (00:00)
reboot system boot 2.6.18-194.el5 Wed Oct 24 03:01 (00:01)
root pts/1 :0.0 Mon Oct 22 01:00 - 03:09 (02:08)
root :0 Mon Oct 22 01:00 - 03:09 (02:09)
root :0 Mon Oct 22 01:00 - 01:00 (00:00)
reboot system boot 2.6.18-194.el5 Mon Oct 22 00:58 (02:10)
root pts/3 :0.0 Sat Oct 13 18:59 - 00:41 (05:41)
root pts/2 :0.0 Sat Oct 13 18:34 - 00:41 (06:06)
root pts/1 :0.0 Sat Oct 13 18:33 - 00:41 (06:08)
root :0 Sat Oct 13 18:32 - 00:41 (06:08)
root :0 Sat Oct 13 18:32 - 18:32 (00:00)
reboot system boot 2.6.18-194.el5 Sat Oct 13 18:31 (06:09)
root pts/1 :0.0 Thu Oct 11 20:12 - 03:17 (07:04)
root :0 Thu Oct 11 20:12 - 03:17 (07:05)
root :0 Thu Oct 11 20:12 - 20:12 (00:00)
www.2cto.com
二,檢視具體使用者登入
/var/log/lastlog日誌檔案記錄了每個使用者最近的登入時間 。每個使用者只有一條記錄
[html]
[root@bogon ~]# lastlog
Username Port From Latest
root :0 Wed Oct 24 03:02:36 -0700 2012
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
nscd **Never logged in**
vcsa **Never logged in**
oprofile **Never logged in**
pcap **Never logged in**
ntp **Never logged in**
dbus **Never logged in**
avahi **Never logged in**
rpc **Never logged in**
apache **Never logged in**
mailnull **Never logged in**
smmsp **Never logged in**
sshd **Never logged in**
xfs **Never logged in**
rpcuser **Never logged in**
haldaemon **Never logged in**
avahi-autoipd **Never logged in**
gdm **Never logged in**