linux下怎麼查看ssh的使用者登入日誌

原文地址：http://tieba.baidu.com/f?kz=1103749664

linux下登入日誌在下面的目錄裡： 
cd /var/log 
查看ssh使用者的登入日誌： 
less secure 
linux日誌管理： 

1. 日誌簡介 

日誌對於安全來說，非常重要，他記錄了系統每天發生的各種各樣的事情，你可以通過他來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕迹。日誌主要的功能有：審計和監測。他還可以即時的監測系統狀態，監測和追蹤侵入者等等。 

在Linux系統中，有三個主要的日誌子系統： 

連線時間日誌--由多個程式執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程式更新wtmp和 utmp檔案，使系統管理員能夠跟蹤誰在何時登入到系統。進程統計--由系統核心執行。當一個進程終止時，為每個進程往進程統計檔案（pacct或acct）中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。 

錯誤記錄檔--由syslogd（8）執行。各種系統守護進程、使用者程式和核心通過syslog（3）向檔案/var/log/messages報告值得注意的事件。另外有許多UNIX程式建立日誌。像HTTP和FTP這樣提供網路服務的伺服器也保持詳細的日誌。 常用的記錄檔如下： 

access-log 紀錄HTTP/web的傳輸 

acct/pacct 紀錄使用者命令 

aculog 紀錄MODEM的活動 

btmp 紀錄失敗的紀錄 

lastlog 紀錄最近幾次成功登入的事件和最後一次不成功的登入 

messages 從syslog中記錄資訊（有的連結到syslog檔案） 

sudolog 紀錄使用sudo發出的命令 

sulog 紀錄使用su命令的使用 

syslog 從syslog中記錄資訊（通常連結到messages檔案） 

utmp 紀錄當前登入的每個使用者 

wtmp 一個使用者每次登入進入和退出時間的永久紀錄 

xferlog 紀錄FTP會話 

utmp、wtmp和lastlog記錄檔是多數重用UNIX日誌子系統的關鍵--保持使用者登入進入和退出的紀錄。有關當前登入使用者的資訊記錄在檔案utmp中；登入進入和退出紀錄在檔案wtmp中；最後一次登入檔案可以用lastlog命令察看。資料交換、關機和重起也記錄在wtmp檔案中。所有的紀錄都包含時間戳記。這些檔案（lastlog通常不大）在具有大量使用者的系統中增長十分迅速。例如wtmp檔案可以無限增長，除非定期截取。許多系統以一天或者一周為單位把wtmp配置成迴圈使用。它通常由cron啟動並執行指令碼來修改。這些指令碼重新命名並迴圈使用wtmp檔案。通常，wtmp在第一天結束後命名為wtmp.1；第二天后wtmp.1變為wtmp.2等等，直到wtmp. 7。 

每次有一個使用者登入時，login程式在檔案lastlog中察看使用者的UID。如果找到了，則把使用者上次登入、退出時間和主機名稱寫到標準輸出中，然後login程式在lastlog中紀錄新的登入時間。在新的lastlog紀錄寫入後，utmp檔案開啟並插入使用者的utmp紀錄。該紀錄一直用到使用者登入退出時刪除。utmp檔案被各種命令檔案使用，包括who、w、users和finger。 

下一步，login程式開啟檔案wtmp附加使用者的utmp紀錄。當使用者登入退出時，具有更新時間戳記的同一utmp紀錄附加到檔案中。wtmp檔案被程式last和ac使用。 

2. 具體命令 

wtmp和utmp檔案都是二進位檔案，他們不能被諸如tail命令剪貼或合并（使用cat命令）。使用者需要使用who、w、users、last和ac來使用這兩個檔案包含的資訊。 

who：who命令查詢utmp檔案並報告當前登入的每個使用者。Who的預設輸出包括使用者名稱、終端類型、登入日期及遠程主機。例如：who（斷行符號）顯示 

chyang pts/o Aug 18 15:06 

ynguo pts/2 Aug 18 15:32 

ynguo pts/3 Aug 18 13:55 

lewis pts/4 Aug 18 13:35 

ynguo pts/7 Aug 18 14:12 

ylou pts/8 Aug 18 14:15 

如果指明了wtmp檔案名稱，則who命令查詢所有以前的紀錄。命令who /var/log/wtmp把報告自從wtmp檔案建立或刪改以來的每一次登入。 

w：w命令查詢utmp檔案並顯示當前系統中每個使用者和它所啟動並執行進程資訊。例如：w（斷行符號）顯示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27 

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 

chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash 

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w 

lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash 

lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/ 

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail 

ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash 

users：users用單獨的一行列印出當前登入的使用者，每個顯示的使用者名稱對應一個登入工作階段。如果一個使用者有不止一個登入工作階段，那他的使用者名稱把顯示相同的次數。例如：users（斷行符號）顯示：chyang lewis lewis ylou ynguo ynguo 

last：last命令往回搜尋wtmp來顯示自從檔案第一次建立以來登入過的使用者。例如： 

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) 

cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) 

chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) 

lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) 

lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) 

linux查看日誌： 
# cd /var/log 
# less secure 
或者 
# less messages 
最近登入的日誌： 
# last 

完