作者介绍:简历上没有一个精通的运维工程师。希望大家多多关注作者,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。
Linux 系统中的日志是记录系统活动和事件的重要工具,它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志,登录日志,定时任务日志,监控日志,崩溃日志,二进制日志等内容,这些日志都存储在/var/log目录下,有的日志文本格式,可以直接使用前面学到的tail cat 等命令分析,有的日志是二进制格式需要专门的命令才能解释,比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。
1.Linux日志-message日志
2.Linux日志-secure日志
3.Linux日志-btmp日志
4.Linux日志-wtmp日志(本章节)
5.Linux日志-lastlog日志
6.Linux日志-cron日志
7.Linux日志-sar日志
8.Linux日志-journal日志
9.Linux日志-dmesg日志
10.Linux日志-kdump日志
11.Linux日志-日志小结
上一小节,我们讲Linux的btmp日志,下面我们接着讲Linux的其他日志内容。
在Linux系统中,wtmp 日志是系统日志的一部分,它主要用于记录系统的登录和注销等相关信息。这个刚好和btmp相对应,一个记录失败,一个记录成功。
-
记录登录和注销时间:它准确地记录了用户登录到系统的时间以及注销的时间。这对于跟踪用户的活动时间以及系统的使用情况非常重要。例如,管理员可以通过查看 wtmp 日志来确定某个用户在特定时间段内的登录时长,从而了解用户对系统资源的使用情况。
-
记录用户身份信息:wtmp 日志会记录登录用户的用户名等身份信息。这有助于管理员识别哪些用户在何时访问了系统。在多用户环境中,如果出现了系统问题或安全事件,通过查看 wtmp 日志可以快速确定当时登录的用户,以便进一步调查相关情况。
-
记录登录终端和来源信息:它还可能记录用户登录的终端设备(如本地终端、远程登录的终端类型等)以及登录的来源 IP 地址(如果是远程登录)。这对于了解用户的登录方式和位置很有帮助。例如,如果发现某个用户经常从不同的 IP 地址登录,可能需要进一步核实该用户的身份和活动是否正常。
日志基本信息
-
日志路径:/var/log/wtmp
-
日志格式: 二进制格式
-
查看方法:使用专用命令last
[root@iZ2vci40gfjzarlead7vliZ log]# last
root pts/0 182.151.182.92 Wed Aug 7 23:14 still logged in
root pts/1 221.237.228.168 Tue Aug 6 15:01 - 17:31 (02:30)
root pts/0 221.237.228.168 Thu Jul 18 15:43 - 17:31 (01:47)
reboot system boot 3.10.0-1127.19.1 Thu Jul 18 23:43 - 23:29 (19+23:46)
root pts/0 221.237.228.168 Thu Jul 18 15:41 - down (00:00)
root pts/0 221.237.228.168 Tue Jul 16 12:46 - 15:57 (03:10)
总结
1.该日志主要记录成功的日志,如果服务器运行的时间越长,他记录的信息越多。
2.当日常运维中需要查询某个命令是谁执行的就可以通过history和该记录进行综合分析。
3.该日志记录的用户,来源ip,登录时间,登出时间。
关注微信公众号《运维小路》获取更多内容。
