最后一条命令
最后一个命令在屏幕上提供了他们如何登录、何时登录以及何时退出等信息。
# last
我们也可以使用 last 命令来读取文件 wtmp、utmp 和 btmp 的内容。
例如:
# last -f /var/log/wtmp ### To open wtmp file and view its content use blow command. # last -f /var/run/utmp ### To see still logged in users view utmp file use last command. # last -f /var/log/btmp ### To view btmp file use same command.
之路 on it Road.com
lastb 命令
我们可以通过键入以下内容来查看 /var/run/btmp 中包含的已记录会话的当前历史记录:
# lastb
在 Linux 系统中,所有内容都记录在名为 /var/log 的目录下的日志文件中。
此目录包含与不同服务和应用程序相关的日志。
在这个目录中,我们有一些文件,例如 utmp 、 wtmp 和 btmp 。
与系统日志文件和身份验证日志文件不同,所有这些文件都是二进制文件。
因此,我们不能使用普通的文本工具,例如 less 或者 grep 来读取它们或者从中提取信息。
相反,我们将使用一些可以读取这些二进制文件的特殊工具。
- utmp 将为我们提供用户登录终端、注销、系统事件和当前系统状态、系统启动时间(由正常运行时间使用)等的完整图片。
- wtmp 给出了 utmp 的历史数据。
- btmp 只记录失败的登录尝试。
utmpdump 命令
现在,鉴于无法使用 cat、less 等基本读取命令查看二进制文件,而不是简单地依赖 last、who、lastb 等基本命令,另一种方法是使用 utmpdump 命令,例如这个:
# utmpdump /path/to/binary
因此,如果要读取二进制文件 wtmp、utmp 或者 btmp 的内容,请使用以下命令:
# utmpdump /var/run/utmp # utmpdump /var/log/wtmp # utmpdump /var/log/btmp
w 和 who 命令
w 和 who 命令从 /var/run/utmp 文件中提取有关谁登录以及他们在做什么的信息。
如果要查看当前登录的用户列表,请使用 who:
$ who geek console Jan 1 23:27 geek ttys000 Jan 7 13:13 geek ttys001 Jan 18 18:34
日期:2020-09-17 00:14:13 来源:oir作者:oir