linux里面last -f /var/log/wfmp作用是啥?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux里面last -f /var/log/wfmp作用是啥?相关的知识,希望对你有一定的参考价值。

对于RPM包封装的Linux发行版本,系统日志多数存放在/var/log目录下,对于了解此目录的文档作用就十分重要,下面列出了常用的日志文档,包括楼主提到的文件作用:
/var/log:常用目录,专门用来存放所有日志文件的目录,里面存放很多系统、软件、用户等相关的日志信息;里面有一些文件是比较常用的;
lastlog:记录用户最后一次登录的信息,使用lastlog命令读取;
message:记录系统的几乎所有信息,主要包括启动信息,syslogd服务记录的信息等;
wtmp:记录所有用户登陆及注销的信息,使用last命令读取;
secure:记录登录系统访问数据的文件,如ssh pop3 telnet ftp等都会记录在此文件中
/var/log/httpd/access_log:httpd访问日志
/var/log/httpd/error_log:httpd错误日志
btmp:记录失败的用户登录
utmp: 纪录当前登录的每个用户
xferlog:ftp会话日志
boot.log:记录开机或一些服务启动时所显示的启动和关闭信息
/var/log/maillog或/var/log/mail/*:记录邮件访问或往来的用户信息
cron: 记录crontab例行性服务的内容
dmesg:开机引导日志信息
sudolog:纪录使用sudo发出的命令
sulog: 纪录使用su命令的使用
参考技术A 对于RPM包封装的Linux发行版本,系统日志多数存放在/var/log目录下,对于了解此目录的文档作用就十分重要,下面列出了常用的日志文档,包括楼主提到的文件作用:
/var/log:常用目录,专门用来存放所有日志文件的目录,里面存放很多系统、软件、用户等相关的日志信息;里面有一些文件是比较常用的;
lastlog:记录用户最后一次登录的信息,使用lastlog命令读取;
message:记录系统的几乎所有信息,主要包括启动信息,syslogd服务记录的信息等;
wtmp:记录所有用户登陆及注销的信息,使用last命令读取;
secure:记录登录系统访问数据的文件,如ssh pop3 telnet ftp等都会记录在此文件中
/var/log/httpd/access_log:httpd访问日志
/var/log/httpd/error_log:httpd错误日志
btmp:记录失败的用户登录
utmp: 纪录当前登录的每个用户
xferlog:ftp会话日志
boot.log:记录开机或一些服务启动时所显示的启动和关闭信息
/var/log/maillog或/var/log/mail/*:记录邮件访问或往来的用户信息
cron: 记录crontab例行性服务的内容
dmesg:开机引导日志信息
sudolog:纪录使用sudo发出的命令
sulog: 纪录使用su命令的使用
参考技术B

Linux last 命令用于显示用户最近登录信息。

单独执行 last 指令,它会读取位于 /var/log/目录下,名称为 wtmp 的文件,并把该文件记录登录的用户名,全部显示出来。

语法

last [options] [username...] [tty...]

参数说明:

options:

    -R 省略主机名 hostname 的列

    -a  把从何处登入系统的主机名称或IP地址显示在最后一行。

    -d  将IP地址转换成主机名称。

    -f<记录文件>  指定记录文件。

    -n<显示行数>或-<显示行数>  显示名单的行数。

    -R  不显示登入系统的主机名称或IP地址。

    -x  显示系统关机,重新开机,以及执行等级的改变等信息。

    username:

    username: 显示指定用户 username 的登录信息。

    tty:

    tty 设置登录的终端,tty 的名称可以缩写, last 0 与 last tty0 相同。

linux下last与lastb命令详解

在linux系统中,last与lastb命令用来列出目前与过去登录系统的用户相关信息。指令英文原义:

last, lastb - show listing of last logged in users

单独执行last指令时,它会读取位于/var/log/wtmp的文件,并把该给文件的内容记录的登录系统的用户名单全部显示出来。

单独执行lastb指令,它会读取位于/var/log/btmp的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。

技术分享图片

第一列信息:用户名,或者显示reboot(启动或者重启操作在这里会记录成reboot)

第二列信息:终端位置,pts/0 (伪终端或虚拟终端) 意味着从诸如SSH或telnet的远程连接的用户。

                 tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户,如果是启动或者重启操作,这里会显示成system boot

第三列信息:登录ip或者内核,如果你看见:0.0 或者什么都没有,这意味着用户通过本地终端连接。

                  也有在状态中显示内核版本的信息,笔者猜测这些记录应该是属于系统的操作,如开机,关机,重启等操作

第四列信息:开始时间,其中的日期格式为date +"%a %b %d"

第五列信息:结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)

第六列信息:持续时间

================================================================================

last命令的参数补充说明(以下参数同样合适lastb命令):

参    数:-a 把从何处登入系统的主机名称或IP地址,显示在最后一行;

     -d 将IP地址转换成主机名称。当用户从远端而非本地主机登入系统时,所记录的将不仅是主机名称,还包括该远端主机的IP地址。

                    默认情况下会用IP地址来显示远端的主机,使用这项参数可将其换成主机名称;

     -f 指定记录文件。预设last指令会去读取/var/log目录里的btmp文件;

     -n 设置列出名单的显示列数,如果你只想查询最后登入系统的10位用户名称,可将显示列数设成"10",

                   想查询最后的30位用户,则设为"30",依此类推;

     -R 不显示登入系统的主机名称或IP地址;

               -x 可显示系统关机、重新开机,以及执行等级的改变等信息。

 

尊重别人的劳动成果 转载请务必注明出处:http://www.cnblogs.com/5201351/p/5139677.html

以上是关于linux里面last -f /var/log/wfmp作用是啥?的主要内容,如果未能解决你的问题,请参考以下文章

Linux里面如何查看系统用户登录日志?

/var/log/wtmp 日志文件介绍

linux /var/log目录下没有messages和secure文件

Linux自查系统日志

2019-02-01 Linux查看用户/历史命令

linux last 保留多久