linux登錄日志 ?/var/log/secure????(root用戶可以刪除該文件)

日志對于安全非常重要，記錄了系統(tǒng)每天發(fā)生的各種事情，通過日志檢查錯誤發(fā)生的原因，或者***后留下的痕跡。所有日志記錄的信息都包含時間戳。

日志功能主要有：審計和檢測。可以實時檢測系統(tǒng)狀態(tài)，檢測和追蹤***者。

linux系統(tǒng)中，三個主要的日志子系統(tǒng)：

連接時間日志---由多個程序執(zhí)行，把把記錄寫到/var/log/wtmp和/var/log/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠追蹤到誰在何時登錄系統(tǒng)

進程統(tǒng)計--由系統(tǒng)內核執(zhí)行。當一個進程終止時，為每個進程往進程統(tǒng)計文件（pacct和acct）中寫入一個記錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務提供命令使用統(tǒng)計。

錯誤日志--由syslogd（8）執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志，像HTTP和FTP這樣提供網(wǎng)路服務的服務的服務器也保持詳細的日志。

常用的日志文件如下：

????access-log????記錄HTTP/web的傳輸

????xferlog????? ?幾路FTP會話

????acct/pacct????記錄用戶命令

????messages????? 從syslog中記錄信息（有的鏈接到syslog文件）

? ? aculog????????記錄MODEM的活動

????sudolog????? ?記錄sudo發(fā)出的命令

????sulog?????????記錄su命令的使用，記錄在/var/log/secure中

????syslog????????從syslog中記錄信息（通常鏈接到messages文件）

? ? lastlog????? ?記錄最近幾次成功登錄的事件和最后一次不成功的登錄

????utmp????????? 記錄當前登錄的每個用戶

????wtmp????????? 一個用戶每次登錄進入和退出時間的永久記錄，包括數(shù)據(jù)交換、關機重啟信息

? ? btmp???????? ?記錄失敗的記錄

utmp、wtmp和lastlog入職文件是多數(shù)重用UNIX日志子系統(tǒng)的關鍵--保持用戶登錄和退出的記錄。

wtmp文件可以無限增長，除非定期截取，通常在大量用戶的系統(tǒng)中增長十分迅速。許多系統(tǒng)以一天或者一周為單位對wtmp配置成循環(huán)使用。通常由cron運行的腳本來修改，重新命名wtmp文件（加時間后綴名），從而可以循環(huán)使用wtmp文件。

每次有一個用戶登錄時，login程序在lastlog文件中查看用戶的UID。如果找到，則把用戶上次登錄、退出時間和主機名寫到標準輸出中，然后login程序在lastlog中記錄新的登錄時間。在新的lastlog記錄寫入后，utmp文件打開并插入用戶utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用，包括who/w/users/finger。

另外login程序打開wtmp文件，將utmp記錄追加到wtmp文件中，當用戶退出時，具有跟新時間戳的同一utmp記錄追加到wtmp文件中。wtmp文件被last/ac使用。

具體命令：

wtmp和utmp文件都是二進制文件，他們不能被諸如tail命令剪貼合并甚至打開。用戶需要使用who/w/users/last/ac命令來調用信息。

????who：????查詢utmp文件并報告當前登錄的每個用戶信息。who的標準輸出格式包括：用戶名、終端類型、登錄日期和遠程主機ip。who /var/log/wtmp 則會把自從wtmp文件創(chuàng)建或刪改以來的每次登錄（和last作用類似，很少使用）。

[root@python02 log]# who

transfor pts/0 ? ? ? ?2015-09-24 06:45 (122.10.70.66)

transfor pts/1 ? ? ? ?2015-09-25 01:01 (122.10.70.66)

transfor pts/2 ? ? ? ?2015-09-25 02:24 (122.10.70.66)

????w： ? ? ?查詢utmp文件并顯示當前系統(tǒng)中每個用戶和它所運行的進程信息。例如：

[root@python02 log]# w

?06:15:32 up 13 days, ?7:10, ?4 users, ?load average: 0.57, 0.47, 0.43

USER ? ? TTY ? ? ? ?LOGIN@ ? IDLE ? JCPU ? PCPU WHAT

transfor pts/0 ? ? Thu06 ? 23:45m ?0.54s ?0.11s sshd: transfor [priv]

????users：? ?用單獨的一行打印出當前登錄用戶，每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個的登錄會話，那顯示那個用戶名相同的次數(shù)。

[root@python02 log]# users

transfor transfor transfor transfor

? ? last：????往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。

[root@python02 log]# last

transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 09:41 ? still logged in ??

transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 09:19 - 09:28 ?(00:08) ? ?

transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 02:56 - 03:34 ?(00:38) ? ?

transfor pts/2 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 02:24 ? still logged in ??

transfor pts/1 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 01:01 ? still logged in ??

transfor pts/1 ? ? ? ?122.10.70.66 ? ? Thu Sep 24 06:56 - 23:06 ?(16:09) ? ?

transfor pts/0 ? ? ? ?122.10.70.66 ? ? Thu Sep 24 06:45 ? still logged in ??

transfor pts/0 ? ? ? ?122.10.70.66 ? ? Wed Sep 23 03:52 - 21:35 ?(17:42) ? ?

transfor pts/0 ? ? ? ?122.10.70.66 ? ? Sat Sep 19 02:32 - 06:20 ?(03:47) ? ?

transfor pts/2 ? ? ? ?122.10.70.66 ? ? Thu Sep 17 05:48 - 22:55 (1+17:06) ??

transfor pts/1 ? ? ? ?122.10.70.66 ? ? Thu Sep 17 05:25 - 22:55 (1+17:29) ?

? ????

linux查看相應日志：

????#less /var/log/secure

????#less /var/log/messages???? ? ?

轉載于:https://blog.51cto.com/jschu/1698446

總結

以上是生活随笔為你收集整理的ssh登录日志，ssh登录记录，最近ssh登录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。