linux用户日志

⑴ linux如何看系统日志

last
-a 把从何处登入系统的主机名称或ip地址，显示在最后一行。
-d 指定记录文件。指定记录文件。将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机，重新开机，以及执行等级的改变等信息

以下看所有的重启、关机记录

last | grep reboot
last | grep shutdown
history
列出所有的历史记录：

[zzs@Linux] # history
只列出最近10条记录：

[zzs@linux] # history 10 (注,history和10中间有空格)
使用命令记录号码执行命令,执行历史清单中的第99条命令

[zzs@linux] #!99 (!和99中间没有空格)
重复执行上一个命令

[zzs@linux] #!!
执行最后一次以rpm开头的命令(!? ?代表的是字符串,这个String可以随便输，Shell会从最后一条历史命令向前搜索，最先匹配的一条命令将会得到执行。)

[zzs@linux] #!rpm
逐屏列出所有的历史记录：

[zzs@linux]# history | more
立即清空history当前所有历史命令的记录

[zzs@linux] #history -c
cat, tail 和 watch
系统所有的日志都在 /var/log 下面自己看(具体用途可以自己查,附录列出一些常用的日志)

cat /var/log/syslog 等
cat /var/log/*.log
tail -f
如果日志在更新，如何实时查看 tail -f /var/log/messages

还可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

该指令，不会直接返回命令行，而是实时打印日志文件中新增加的内容，
这一特性，对于查看日志是非常有效的。如果想终止输出，按 Ctrl+C 即可。

除此之外还有more, less ,dmesg|more,这里就不作一一列举了,因为命令太多了,关键看个人喜好和业务需求.个人常用的就是以上那些

linux日志文件说明
/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

⑵ linux中日志文件存在哪里

日志文件通常保存在/var/log目录下。

下面是几个重要的日志文件：

/var/log/messages：包括整体系统信息，其中也包含系统启动期间的日志。

/var/log/syslog：它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息。

/var/log/user.log：记录所有等级用户信息的日志。/var/log/auth.log：包含系统授权信息，包括用户登录和使用的权限机制等。

(2)linux用户日志扩展阅读：

日志文件分为事件日志和消息日志。

事件日志

事件日志记录在系统的执行中发生的事件，以便提供可用于理解系统的活动和诊断问题的跟踪。 它们对理解复杂系统的活动至关重要，特别是在用户交互较少的应用程序中。

它还可以用于组合来自多个源的日志文件条目。 这种方法与统计分析相结合，可以产生不同服务器上看起来不相关的事件之间的相关性。 其他解决方案采用网络范围的查询和报告。

消息日志

互联网中继聊天（IRC），即时消息（IM）程序，具有聊天功能的对等文件共享客户端和多人游戏（特别是MMORPG）通常具有自动记录（即保存）文本通信的能力。

消息日志几乎是通用的纯文本文件，但是IM和VoIP客户端（其支持文本聊天，例如Skype）可以将它们保存在HTML文件中或以自定义格式以便于阅读和加密。

参考资料：网络——日志文件

⑶ `linux的登录日志怎么查看

1、linux下登录日志记录在：/var/log目录里的secure文件。

查看ssh用户的登录日志命令：cd/var/log &&moresecure

上图中可以看到，用户在11:05:57和12:24:33进行了两次登录。

2、使用last命令，可以列出目前与过去登录系统的用户相关信息。这是一个功能很强大的命令。

语法：last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]

例子：last -x ：显示系统关闭、用户登录和退出的历史

last -i：显示特定ip登录的情况

last -t 20150303120101：显示20150303120101之前的登录信息

⑷ Linux系统中如何查看日志信息

cat
tail -f
日 志 文 件 说 明
/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
系统：
echo $PATH # 显示系统变量的信息
# uname -a # 查看内核/操作系统/CPU信息
# cat /etc/issue
# cat /etc/redhat-release # 查看操作系统版本
# cat /proc/cpuinfo # 查看CPU信息
# hostname # 查看计算机名
# lspci -tv # 列出所有PCI设备
# lsusb -tv # 列出所有USB设备
# lsmod # 列出加载的内核模块
# env # 查看环境变量
资源：
# free -m # 查看内存使用量和交换区使用量
# df -h # 查看各分区使用情况
# -sh <目录名> # 查看指定目录的大小
# grep MemTotal /proc/meminfo # 查看内存总量
# grep MemFree /proc/meminfo # 查看空闲内存量
# uptime # 查看系统运行时间、用户数、负载
# cat /proc/loadavg # 查看系统负载
磁盘和分区：
# mount | column -t # 查看挂接的分区状态
# fdisk -l # 查看所有分区
# swapon -s # 查看所有交换分区
# hdparm -i /dev/hda # 查看磁盘参数(仅适用于IDE设备)
# dmesg | grep IDE # 查看启动时IDE设备检测状况
网络：
# ifconfig # 查看所有网络接口的属性
# iptables -L # 查看防火墙设置
# route -n # 查看路由表
# netstat -lntp # 查看所有监听端口
# netstat -antp # 查看所有已经建立的连接
# netstat -s # 查看网络统计信息
进程：
# ps -ef # 查看所有进程
# top # 实时显示进程状态（另一篇文章里面有详细的介绍）
用户：
# w # 查看活动用户
# id <用户名> # 查看指定用户信息
# last # 查看用户登录日志
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
# crontab -l # 查看当前用户的计划任务
服务：
# chkconfig –list # 列出所有系统服务
# chkconfig –list | grep on # 列出所有启动的系统服务
程序：
# rpm -qa # 查看所有安装的软件包

⑸ linux系统日志格式

1、系统常用的日志（日志是用来记录重大事件的工具）
/var/log/message 系统信息日志，包含错误信息等
/var/log/secure 系统登录日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志
2、日志管理服务 rsyslog 《Linux就该这么学》
【1】作用：主要用来采集日志，不产生日志
【2】配置文件：/etc/rsyslog.conf
编辑文件时的格式为： ------ *.* 存放日志文件 ------
其中第一个*代表日志类型，第二个*代表日志级别

⑹ 查看linux下的用户登录日志

more /var/log/secure
who /var/log/wtmp
干了些什么？
root账户下输入su - username
切换到username下输入
history
能看到这个用户历史命令，默认最近的1000条。学习Linux，《Linux就该这么学》这本书能提供更全面的学习路线。

⑺ Linux里面如何查看系统用户登录日志

一、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登陆

last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

查看/var/log/secure文件寻找可疑IP登陆次数

二、 脚本生成所有登录用户的操作历史
在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，重新登录

?面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

⑻ Linux 普通用户的日志指定输出到root权限的日志文档下会有什么影响

Linux 普通用户的日志指定输出到root权限的日志文档下，是有前提的。

变通用户到被写入日志文档有w权限才可以出到root权限的日志文档下。《Linux就该这么学》

不会改文档的属组。