CentOS系統(tǒng)查看用戶登錄記錄的方法

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print

　　保留、維護(hù)和分析日志(如某個特定時期內(nèi)發(fā)生過的，或正在發(fā)生的帳號事件)，是Linux系統(tǒng)管理員最基礎(chǔ)和最重要的任務(wù)之一。接下來是小編為大家收集的CentOS系統(tǒng)查看用戶登錄記錄的方法，希望能幫到大家。

　　CentOS系統(tǒng)查看用戶登錄記錄的方法

　　對于用戶管理，檢查用戶的登入和登出日志(不管是失敗的，還是成功的)可以讓我們對任何潛在的安全隱患或未經(jīng)授權(quán)使用系統(tǒng)的情況保持警惕。例如，工作時間之外或放假期間的來自未知IP地址或帳號的遠(yuǎn)程登錄應(yīng)當(dāng)發(fā)出紅色警報。

　　在CentOS系統(tǒng)上，用戶登錄歷史存儲在以下這些文件中：

　　/var/run/utmp(用于記錄當(dāng)前打開的會話)被who和w工具用來記錄當(dāng)前有誰登錄以及他們正在做什么，而uptime用來記錄系統(tǒng)啟動時間。

　　/var/log/wtmp (用于存儲系統(tǒng)連接歷史記錄)被last工具用來記錄最后登錄的用戶的列表。

　　/var/log/btmp(記錄失敗的登錄嘗試)被lastb工具用來記錄最后失敗的登錄嘗試的列表。

　　在本文中，我將介紹如何使用utmpdump，這個小程序來自sysvinit-tools包，可以用于轉(zhuǎn)儲二進(jìn)制日志文件到文本格式的文件以便檢查。此工具默認(rèn)在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到過的工具的輸出要更全面，這讓它成為一個勝任該工作的很不錯的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修復(fù)二進(jìn)制日志中的任何損壞條目，它會很有用(LCTT 譯注：我怎么覺得這像是做壞事的前奏?)。

　　Utmpdump的使用及其輸出說明

　　正如我們之前提到的，這些日志文件，與我們大多數(shù)人熟悉的其它日志相比(如/var/log/messages，/var/log/cron，/var/log/maillog)，是以二進(jìn)制格式存儲的，因而我們不能使用像less或more這樣的文件命令來查看它們的內(nèi)容。所以，utmpdump的出現(xiàn)拯救了世界。

　　為了要顯示/var/run/utmp的內(nèi)容，請運行以下命令：

　　代碼如下:

　　# utmpdump /var/run/utmp

　　同樣要顯示/var/log/wtmp的內(nèi)容：

　　代碼如下:

　　# utmpdump /var/log/wtmp | tail -15[code]

　　最后，對于/var/log/btmp：

　　[code]# utmpdump /var/log/btmp

　　正如你所能看到的，三種情況下的輸出結(jié)果是一樣的，除了utmp和btmp的記錄是按時間排序，而wtmp的順序是顛倒的這個原因外(LCTT 譯注：此處原文有誤，實際上都是按照時間順序排列的)。

　　每個日志行格式化成了多列，說明如下。第一個字段顯示了會話識別符，而第二個字段則是PID。第三個字段可以是以下值：--(表示運行等級改變或系統(tǒng)重啟)，bw(啟動守候進(jìn)程)，數(shù)字(表示TTY編號)，或者字符和數(shù)字(表示偽終端)。第四個字段可以為空或用戶名、重啟或運行級別。第五個字段是主TTY或PTY(偽終端)，如果此信息可獲得的話。第六個字段是遠(yuǎn)程主機名(如果是本地登錄，該字段為空，運行級別信息除外，它會返回內(nèi)核版本)。第七個字段是遠(yuǎn)程系統(tǒng)的IP地址(如果是本地登錄，該字段為0.0.0.0)。如果沒有提供DNS解析，第六和第七字段會顯示相同的信息(遠(yuǎn)程系統(tǒng)的IP地址)。最后一個(第八)字段指明了該記錄創(chuàng)建的日期和時間。

　　Utmpdump使用樣例

　　下面提供了一些utmpdump的簡單使用情況。

　　1、 檢查8月18日到9月17日之間某個特定用戶(如gacanepa)的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep gacanepa

　　如果你需要回顧先前日期的登錄信息，你可以檢查/var/log下的wtmp-YYYYMMDD(或wtmp.[1...N])和btmp-YYYYMMDD(或btmp.[1...N])文件，這些是由logrotate生成的舊wtmp和btmp的歸檔文件。

　　2、 統(tǒng)計來自IP地址192.168.0.101的登錄次數(shù)。

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep 192.168.0.101

　　3、 顯示失敗的登錄嘗試。

　　代碼如下:

　　# utmpdump /var/log/btmp

　　在/var/log/btmp輸出中，每個日志行都與一個失敗的登錄嘗試相關(guān)(如使用不正確的密碼，或者一個不存在的用戶ID)。上面圖片中高亮部分顯示了使用不存在的用戶ID登錄，這警告你有人嘗試猜測常用帳號名來闖入系統(tǒng)。這在使用tty1的情況下是個極其嚴(yán)重的問題，因為這意味著某人對你機器上的終端具有訪問權(quán)限(該檢查一下誰拿到了進(jìn)入你數(shù)據(jù)中心的鑰匙了，也許吧?)

　　4、 顯示每個用戶會話的登入和登出信息

　　代碼如下:

　　# utmpdump /var/log/wtmp

　　在/var/logwtmp中，一次新的登錄事件的特征是，第一個字段為‘7’，第三個字段是一個終端編號(或偽終端id)，第四個字段為用戶名。相關(guān)的登出事件會在第一個字段顯示‘8’，第二個字段顯示與登錄一樣的PID，而終端編號字段空白。例如，仔細(xì)觀察上面圖片中PID 1463的行。

　　在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上顯示登錄提示符。

　　在 [Fri Sep 19 12:04:21 2014 ART]，用戶 root 登入。

　　在 [Fri Sep 19 12:07:24 2014 ART]，用戶 root 登出。

　　旁注：第四個字段的LOGIN意味著出現(xiàn)了一次登錄到第五字段指定的終端的提示。

　　到目前為止，我介紹一些有點瑣碎的例子。你可以將utmpdump和其它一些文本處理工具，如awk、sed、grep或cut組合，來產(chǎn)生過濾和加強的輸出。

　　例如，你可以使用以下命令來列出某個特定用戶(如gacanepa)的所有登錄事件，并發(fā)送輸出結(jié)果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之類的文字或工作簿應(yīng)用程序打開查看。讓我們只顯示PID、用戶名、IP地址和時間戳：

　　代碼如下:

　　# utmpdump /var/log/wtmp | grep -E "[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決

,,,}' | sed -e 's/[//g' -e 's/]//g'

　　就像上面圖片中三個高亮區(qū)域描繪的那樣，過濾邏輯操作是由三個管道步驟組成的。第一步用于查找由用戶gacanepa觸發(fā)的登錄事件([7]);第二步和第三部用于選擇期望的字段，移除utmpdump輸出的方括號并設(shè)置輸出字段分隔符為逗號。

　　當(dāng)然，如果你想要在以后打開來看，你需要重定向上面的命令輸出到文件(添加“>[文件名].csv”到命令后面)。

　　在更為復(fù)雜的例子中，如果你想要知道在特定時間內(nèi)哪些用戶(在/etc/passwd中列出)沒有登錄，你可以從/etc/passwd中提取用戶名，然后運行g(shù)rep命令來獲取/var/log/wtmp輸出中對應(yīng)用戶的列表。就像你看到的那樣，有著無限可能。

　　在進(jìn)行總結(jié)之前，讓我們簡要地展示一下utmpdump的另外一種使用情況：修改utmp或wtmp。由于這些都是二進(jìn)制日志文件，你不能像編輯文件一樣來編輯它們。取而代之是，你可以將其內(nèi)容輸出成為文本格式，并修改文本輸出內(nèi)容，然后將修改后的內(nèi)容導(dǎo)入回二進(jìn)制日志中。如下：

　　代碼如下:

　　# utmpdump /var/log/utmp > tmp_output

　　<使用文本編輯器修改 tmp_output>

　　# utmpdump -r tmp_output > /var/log/utmp

　　這在你想要移除或修復(fù)二進(jìn)制日志中的任何偽造條目時很有用。

　　下面小結(jié)一下，utmpdump從utmp、wtmp和btmp日志文件或輪循的舊歸檔文件來讀取詳細(xì)的登錄事件，來補充如who，w，uptime，last，lastb之類的標(biāo)準(zhǔn)工具的不足，這也使得它成為一個很棒的工具。

看了“CentOS系統(tǒng)查看用戶登錄記錄的方法”還想看：

1.CentOS如何使用FPM制作RPM包

2.win7電腦怎么記錄用戶登錄時間

3.centos怎么用命令查看系統(tǒng)版本

4.Linux系統(tǒng)Centos無法啟動怎么解決