Linux日志文件-----utmp,wtmp,lastlog,messages（精编版）

1、linux日志文件utmp,wtmp,lastlog,messageslinux日志文件utmp 、wtmp 、lastlog 、messages：1、有关当前登录用户的信息记录在文件utmp中；=who命令2、登录进入和退出纪录在文件wtmp 中； =w命令3、最后一次登录文件可以用 lastlog命令察看；4、messages=从 syslog中记录信息注意： wtmp和 utmp文件都是二进制文件，他们不能被诸如tail 命令剪贴或合并 （使用 cat 命令）。用户需要使用 who 、 w、users 、last和 ac 来使用这两个文件包含的信息。例子：last命令往回搜索wtmp来显

2、示自从文件第一次创建以来登录过的用户quote:chyang pts/9 202.38.68.242 tue aug 1 08:34 - 11:23(02:49)cfan pts/6 202.38.64.224 tue aug 1 08:33 - 08:48 (00:14)chyang pts/4 202.38.68.242 tue aug 1 08:32 - 12:13(03:40)lewis pts/3 202.38.64.233 tue aug 1 08:06 - 11:09 (03:03)lewis pts/2 202.38.64.233 tue aug 1 07:56 - 11:09

3、 (03:12)如果指明了用户， 那么 last只报告该用户的近期活动，例如，键入 last ynguo命令，然后按回车键，将显示如下内容：quote:ynguo pts/4 simba.nic.ustc.e fri aug 4 16:50 - 08:20(15:30)ynguo pts/4 simba.nic.ustc.e thu aug 3 23:55 - 04:40(04:44)ynguo pts/11 simba.nic.ustc.e thu aug 3 20:45 - 22:02(01:16)ynguo pts/0 simba.nic.ustc.e thu aug 3 03:17 -

4、 05:42(02:25)ynguo pts/0 simba.nic.ustc.e wed aug 2 01:04 - 03:161+02:12)ynguo pts/0 simba.nic.ustc.e wed aug 2 00:43 - 00:54(00:11)ynguo pts/9 simba.nic.ustc.e thu aug 1 20:30 - 21:26(00:55)users用单独的一行打印出当前登录的用户，每 个显示的用户名对应一个登录会话w 命令查询 utmp文件并显示当前系统中每个用户和它所运行的进程信息who命令查询 utmp文件并报告当前登录的每个用户ac命令根据当前的

5、/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时）例如，键入ac命令，然后按回车键，将显示如下内容：quote:total 5177.47键入 ac -d命令，然后按回车键，将显示每天的总的连接时间：quote:aug 12 total 261.87aug 13 total 351.39aug 14 total 396.09aug 15 total 462.63aug 16 total 270.45aug 17 total 104.29today total 179.02utmp文件，它记录当前登录进系统的各个用户；包含下列结构的一个二进制记录写入这两个文件中：str

6、uct utmp char ut_line8; /* tty line: "ttyh0", "ttyd0", "ttyp0", . */ char ut_name8; /* login name */long ut_time; /* seconds since epoch */;登录时， login程序填写这样一个结构，然后将 其写入到 utmp文件中，同时也将其添写到wtmp文件中。注销时，init进程将 utmp文件中相应的记录擦除(每个字节都填以 0 ) ，并将一个新记录添写到wtmp文件中。读wtmput_name字段清除为0 。在系统再文件中的该注销记录，其启动时，以及更改系统时间和日期的前后，都在wtmp文件中添写特殊的记录项。who( 1 ) 程序读 utmp文件， 并以可读格式打印其内容。后来的unix版本提供 last( 1 ) 命令，它读 wtmp文件并打印所选择的记录。wtmp文件，它跟踪各 个登录和注销事件。wtedwtmp/utmp日志编辑程序。 你可以使用这个工具编辑所有 wtmp或者 utmp类型的文