日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。
日志对于系统的安全来说非常重要,它记录了系统每天发生的各种各样的事情,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
日志主要的功能是审计和监测。它还可以实时地监测系统状态,监测和追踪侵入者。
Linux系统一般有3个主要的日志子系统:连接时间日志、进程统计日志和错误日志。
对于Linux系统而言,所有的日志文件都在/var/log下。详细分类如下:
除了上述Log文件以外, /var/log还基于系统的具体应用包含以下一些子目录:
systemd-analyze 命令可以方便的记录系统启动耗时详情
可以通过:
systemd-analyze plot > start_analyze.svg
命令来输出
示例图 1
可以通过
systemd-analyze blame
来获得详细的进程耗时排名信息
示例图 2
who 命令显示关于当前在本地系统上的所有用户的信息。显示以下内容:登录名、tty、登录日期和时间。输入 who am i 或 whoami 显示您的登录名、tty、您登录的日期和时间。如果用户是从一个远程机器登录的,那么该机器的主机名也会被显示出来。
who 命令也能显示自从线路活动发生以来经过的时间、命令解释器(shell)的进程标识、登录、注销、重新启动和系统时钟的变化,还能显示由初始化进程生成的其它进程。
语法:
who [ -a | -b -d -l -m -p -q -r -s -t -u -w -H -T ] [ File ]
who am { i | I }
# 参数:
-a 处理 /etc/utmp 文件或有全部信息的指定文件。等同于指定 -bdlprtTu 标志。
-b 指出最近系统启动的时间和日期。
-d 显示没有被 init 重新生成的所有到期的进程。退出字段用于显示死进程并包含死进程的终止和退出值(由 wait 进程返回的)。(这个标志用于通过察看应用程序返回的错误号来确定一个进程的结束原因。)
-l 列出任何登录进程。
-m 仅显示关于当前终端的信息。who -m 命令等同于 who am i 和 who am I 命令。
-p 列出任何当前活动的和以前已由 init 生成的活动进程。
-q 打印一份在本地系统上的用户和用户数的快速清单。
-r 显示当前进程的运行级别。
-s 仅列出名字、线路和时间字段。这个标志是缺省值;因此,who 和 who -s 命令是等效的。
-t 显示 root 用户上一次用 date 命令对系统时钟做的更改。如果 date 命令自从系统安装以来还没有被运行过, who -t 命令就不产生输出。
-u 显示每个当前用户的用户名、tty、登录时间、线路活动和进程标识。
-H 显示标题。
--help 在线帮助。
--version 显示版本信息。
实例:
要显示关于谁正在使用本地系统节点的信息,请输入:
$ who
joe lft/0 Jun 8 08:34
要显示您的用户名,请输入:
$ who am i
george lft/0 Jun 8 08:34
要显示本地系统节点的运行级别,请输入:
$ who -r
运行级别 2 2013-10-13 15:37
w是显示目前登入系统的用户信息。
执行这项指令可得知目前登入系统的用户有那些人,以及他们正在执行的程序。单独执行linux w 命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。
语法:
w [-fhsuV][用户名称]
# 参数:
-f 开启或关闭显示用户从何处登入系统。
-h 不显示各栏位的标题信息列。
-s 使用简洁格式列表,不显示用户登入时间,终端机阶段作业和程序所耗费的CPU时间。
-u 忽略执行程序的名称,以及该程序耗费CPU时间的信息。
-V 显示版本信息。
last命令列出目前与过去登入系统的用户相关信息。
单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
语法:
last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]
# 参数:
-a 把从何处登入系统的主机名称或IP地址,显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
lastlog 报告所有用户的最近登录情况,或者指定用户的最近登录情况
语法:
lastlog [选项]
# 选项:
-b, --before DAYS 只显示老于 DAYS 的最近登录记录。
-h, --help 帮助信息并退出。
-R, --root CHROOT_DIR 改变主目录到指定目录,并应用指定目录中的配置文件后再执行命令
-t, --time DAYS 只显示新于 DAYS 的最近登录记录。
-u, --user LOGIN|RANGE 显示指定用户的最近登录记录。