資料交換、關機和重起也記錄在wtmp檔案中。所有的紀錄都包含時間戳記。
每次有一個使用者登入時,login程式在檔案lastlog中察看使用者的UID。如果找到了,則把使用者上次登入、退出時間和主機名稱寫到標準輸出中,然後login程式在lastlog中紀錄新的登入時間。
在新的lastlog紀錄寫入後,utmp檔案開啟並插入使用者的utmp紀錄。該紀錄一直用到使用者登入退出時刪除。utmp檔案被各種命令檔案使用,包括who、w、users和finger。
下一步,login程式開啟檔案wtmp附加使用者的utmp紀錄。當使用者登入退出時,具有更新時間戳記的同一utmp紀錄附加到檔案中。wtmp檔案被程式last和ac使用。
wtmp和utmp檔案都是二進位檔案,使用者需要使用who、w、users、last和ac來使用這兩個檔案包含的資訊。
下面來說如何查看Centos使用者登陸日誌。
1.who:who命令查詢utmp檔案並報告當前登入的每個使用者。Who的預設輸出包括使用者名稱、終端類型、登入日期及遠程主機。例如:who(斷行符號)顯示
代碼如下 |
複製代碼 |
root pts/0 2014-03-04 10:03 (218.2.11.178) |
2.如果指明了wtmp檔案名稱,則who命令查詢以www.111cn.Net前所有的登陸紀錄。使用命令who /var/log/wtmp查看所有登陸記錄,結果如下:
代碼如下 |
複製代碼 |
lxy ftpd5946 2013-01-09 16:48 (218.2.11.178) ipfangwen ftpd6036 2013-01-09 16:49 (218.2.11.178) zhaiken ftpd6064 2013-01-09 16:50 (218.2.11.178) beifen ftpd6065 2013-01-09 16:50 (218.2.11.178) root pts/0 2013-01-09 17:27 (218.2.11.178) lxy ftpd9472 2013-01-09 17:30 (218.2.11.178) lxy ftpd9482 2013-01-09 17:31 (218.2.11.178) root pts/0 2013-01-11 12:58 (218.2.11.178) dy.lxy.me ftpd9801 2013-01-25 16:15 (218.2.11.178) |
3.last:last命令往回搜尋wtmp來顯示自從檔案第一次建立以來登入過的使用者。例如:
代碼如下 |
複製代碼 |
root pts/0 218.2.11.178 Tue Mar 4 10:03 still logged in root pts/0 218.2.11.178 Wed Feb 26 15:34 - 15:43 (00:09) lxy ftpd18086 218.2.11.178 Wed Oct 9 17:14 - 17:16 (00:02) root pts/0 218.2.11.178 Tue Oct 8 16:54 - 17:50 (00:55) |