日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,我们可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。Linux系统会记录我们的每一步操作,这些文件通常保存在/var/log文件夹的文本文件里面,如果直接查看文本,那么想当的繁琐,看起来也不方便,好在linux为我们提供了很多的工具来查看这些文本文件。下面我提供以下几种方法供参考,相信会对我们有帮助的。
1.上下翻
当我们在命令行窗口里面输入了一条命令之后,Linux会记录下这条命令,那么我们也就可以通过方向键上下来获取以往的运行的命令,大大的节省了输入时间。
2.last命令
last命令显示出以往账户登录的信息,通过last user可以过滤某个用户登录的信息。
例如输入last root,显示结果如下
2.lastlog命令
lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log /lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示\\"**Never logged**。注意需要以root运行该命令,结果如下
3.who命令
who命令查询/var/log/utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。例如,键入who命令,然后按回车键,将显示如下内容:
4.w命令
w命令查询/var/log/utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如,键入w命令,然后按回车键,将显示如下内容:
5.mutt命令
有一些执行了系统操作或者发生错误之后,系统会以邮件的形式保存起来,以便通知管理员处理,这时我们可以通过mutt查看系统执行的过程,如crontab运行的结果。例如我有这样一个执行每日编译的脚本,crontab设置为
具体运行的过程
5.结束
以上只是我平时查看日志的用到一些命令,大家还有什么技巧欢迎讨论下载本文
