document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2024-12-26 21:30:55 +08:00
Code Issues Packages Projects Releases Wiki Activity
d7b697740c
TranslateProject/published/201402/Built in Audit Trail Tool – Last Command in Linux.md
wxy 9c01f90177 renamed: 10 Useful Open Source Web Based File Managers.md -> 201402/10 Useful Open Source Web Based File Managers.md 
renamed:    20 Linux ls Command Examples to Display the Entries of Directory.md -> 201402/20 Linux ls Command Examples to Display the Entries of Directory.md
	renamed:    29 Practical Examples of Nmap Commands for Linux System,Network Administrators.md -> 201402/29 Practical Examples of Nmap Commands for Linux System,Network Administrators.md
	renamed:    6 Unusual Yet Great Linux Operating Systems For Your Netbook!.md -> 201402/6 Unusual Yet Great Linux Operating Systems For Your Netbook!.md
	renamed:    "Built in Audit Trail Tool \342\200\223 Last Command in Linux.md" -> "201402/Built in Audit Trail Tool \342\200\223 Last Command in Linux.md"
	renamed:    Conky Harmattan Is A Stylish Desktop Companion For Linux.md -> 201402/Conky Harmattan Is A Stylish Desktop Companion For Linux.md
	renamed:    "Daily Ubuntu Tips \342\200\223 How To Manually Install LibreOffice In Ubuntu.md" -> "201402/Daily Ubuntu Tips \342\200\223 How To Manually Install LibreOffice In Ubuntu.md"
	renamed:    "Daily Ubuntu Tips \342\200\223 Take Screenshots Of your Desktop.md" -> "201402/Daily Ubuntu Tips \342\200\223 Take Screenshots Of your Desktop.md"
	renamed:    "Daily Ubuntu Tips \342\200\223 Turn Off Shutdown \357\274\217 Restart Confirmation In Ubuntu.md" -> "201402/Daily Ubuntu Tips \342\200\223 Turn Off Shutdown \357\274\217 Restart Confirmation In Ubuntu.md"
	renamed:    "Daily Ubuntu Tips \342\200\223 Upgrade To Ubuntu 14.04 (Trusty Tahr) From 13.10.md" -> "201402/Daily Ubuntu Tips \342\200\223 Upgrade To Ubuntu 14.04 (Trusty Tahr) From 13.10.md"
	renamed:    "Daily Ubuntu Tips \342\200\223 Use Spotify In Ubuntu Linux.md" -> "201402/Daily Ubuntu Tips \342\200\223 Use Spotify In Ubuntu Linux.md"
	renamed:    Find Saved WiFi Password In Linux Mint 16 [Beginner].md -> 201402/Find Saved WiFi Password In Linux Mint 16 [Beginner].md
	renamed:    How To Install Icon Themes In Linux Mint 16 [Beginner Tip].md -> 201402/How To Install Icon Themes In Linux Mint 16 [Beginner Tip].md
	renamed:    How To Properly Install Ubuntu One In Linux Mint 16.md -> 201402/How To Properly Install Ubuntu One In Linux Mint 16.md
	renamed:    How to Replace GRUB with Syslinux on Arch Linux.md -> 201402/How to Replace GRUB with Syslinux on Arch Linux.md
	renamed:    How to convert video to animated gif image on Linux.md -> 201402/How to convert video to animated gif image on Linux.md
	renamed:    How to integrate Google Calendar in Linux desktop.md -> 201402/How to integrate Google Calendar in Linux desktop.md
	renamed:    How to open a large text file on Linux.md -> 201402/How to open a large text file on Linux.md
	renamed:    Linux Top 3--Linux 3.13, System Rescue 4 and BackBox 3.13.md -> 201402/Linux Top 3--Linux 3.13, System Rescue 4 and BackBox 3.13.md
	renamed:    Linux iostat Command to Report CPU Statistics and IO Statistics.md -> 201402/Linux iostat Command to Report CPU Statistics and IO Statistics.md
	renamed:    Markdown Text Editor CuteMarkEd 0.9.0 Gets New Options.md -> 201402/Markdown Text Editor CuteMarkEd 0.9.0 Gets New Options.md
	renamed:    Pear OS Is History!.md -> 201402/Pear OS Is History!.md
	renamed:    Top 10 Linux Games of 2013.md -> 201402/Top 10 Linux Games of 2013.md
	renamed:    Two Pi R.md -> 201402/Two Pi R.md
	renamed:    userdel Command - Delete User Account from Linux system.md -> 201402/userdel Command - Delete User Account from Linux system.md
2014-03-03 13:16:19 +08:00

7.2 KiB
Raw Blame History

Linux内置的审计跟踪工具 - last命令

如果你是一个服务器管理员你或许知道你要保护你的服务器的话不仅是从外部还要从内部保护。linux有一个内置工具来看到最后登陆服务器的用户可以帮助你保护服务器。

这个命令是last。它对于追踪非常有用。让我们来看一下last可以为你做些什么。

last命令的功能是什么

last显示的是自**/var/log/wtmp**文件创建起所有登录(和登出)的用户。这个文件是二进制文件它不能被文本编辑器浏览比如vi、Joe或者其他软件。这是非常有用的因为用户(或者root)不能像他们希望的那样修改这个文件。

last会给出所有已登录用户的用户名、tty、IP地址(如果用户是远程连接的话)、日期-时间和用户已经登录的时间。

如何运行last

你只要在控制台中输入last即可。这是个例子:

$ last

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot 2.6.32-358.23.2 Mon Dec 2 09:20 - 13:25 (04:05)

这里是如何阅读last信息

  • 第一列告诉谁是用户

  • 第二列给出了用户如何连接的信息

    • pts/0 (伪终端) 意味着从诸如SSH或telnet的远程连接的用户

    • tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户

    • 除了重启活动,所有状态会在启动时显示

  • 第三列显示用户来自哪里。如果用户来自于远程计算机你会看到一个主机名或者IP地址。如果你看见:0.0 或者什么都没有,这意味着用户通过本地终端连接。除了重启活动,内核版本会显示在状态中。

  • 剩下的列显示日志活动发生在何时。括号中的数字告诉我们连接持续了多少小时和分钟。

日常操作中last的一些示例

限制显示行的数目

当你有很多行要显示时,你可以限制你想看到的行的数目.使用 -n 参数来这么做。

$ last -n 3

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot 2.6.32-358.23.2 Mon Dec 2 09:20 - 13:25 (04:05)

-n 参数会使last显示从当前时间到以后的3条记录。

不显示主机名

使用 -R 参数来这么做。这里是例子 :

$ last -R

leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot Mon Dec 2 09:20 - 13:25 (04:05)

如你所见,现在在也没有关于主机或者IP地址的信息了。

最后一列显示主机名

要这么做,我们使用 -a参数

$ last -a

leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53) 10.0.76.162
pungki tty1 Mon Dec 2 09:31 still logged in :0.0
reboot system boot Mon Dec 2 09:20 - 13:25 (04:05) 2.6.32-358.23.2.el6.i686

现在主机信息诸如10.0.76.162 会放在最后一列。

显示完整登入登出时间日期

对于此,你可以使用 -F 参数。这个是个示例:

$ last -F

leni pts/0 10.0.76.162 Mon Dec 2 12:32:24 2013  Mon Dec 2013 13:25:24 2013 (00:53)

打印特定的用户名

如果你想要追踪特定的用户,你可以特别打印它。在last命令后面输入用户名。

$ last leni

leni tty1 Mon Dec 2 18-42 still logged in
leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53) 10.0.76.162

或者你想要知道reboot何时完成,你也可以这样显示它:

$ last reboot

reboot system boot Mon Dec 2 09:20 - 16:55 (07:34)
reboot system boot Sun Dec 1 04:26 - 04:27 (00:01)
reboot system boot Wed Nov 27 20:27 - 01:24 (04:57)
reboot system boot Tue Nov 26 21:06 - 06:13 (09:06)

打印特定 / pts

last同样可以打印特定tty/pts的信息. 只要在last命令后面输入tty名字或者pty名字。

这里有一些例子:

$ last tty1

pungki tty1 Mon Dec 2 09:31 still logged in
pungki tty1 Mon Dec 2 04:26  down (00:00)
pungki tty1 Mon Dec 2 04:07  down (00:00)
pungki tty1 Sun Dec 1 18:55  04:07 (09:12)

$ last pts/0

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki pts/0 :0.0 Wed Nov 27 20:28  down (04:56)

当你看到 down 的值 - 比如上面的第二行,它意味着用户从某个时间登录直到系统重启或关机。

使用另一个文件而不是 /var/log/wtmp

默认上last命令会从**/var/log/wtmp中解析信息。如果你想要last命令从另外一个文件解析,你可以使用-f** 参数。比如,当日志切割后,让我们假设切割后,之前的文件名变为**/var/log/wtmp.1**。那么last命令会像这样。

$ last -f /var/log/wtmp.1

显示运行级别改变

这里有个**-x**参数来显示运行级别。这里示例输出:

pungki tty1 Mon Dec 2 19:21 still logged in
runlevel (to lvl 3) 2.6.32-358.23.2 Mon Dec 2 19:20  19:29 (00:08)
reboot system boot 2.6.32-358.23.2 Mon Dec 2 19:20  19:29 (00:08)
shutdown system down 2.6.32-358.23.2 Mon Dec 2 18:56  19:20 (00:23)
runlevel (to lvl 0) 2.6.32-358.23.2 Mon Dec 2 18:56  18:56 (00:00)
leni tty1 Mon Dec 2 18:42  down (00:00)

你可以看到这里有两个运行级别。运行级别to lvl 3的条目意味着系统运行在完整的控制台模式而没在X window或者GUI中。同时,当系统关机时,实际上是切换为运行级别0这就是为什么last会显示to lvl 0

查看失败登录

last命令用了记录成功登录,而 lastb 命令记录失败的登录尝试。你必须拥有root权限才能运行lastb命令。这里有一个lastb命令的示例输出。lastb会解析/var/log/btmp的信息。

# lastb

leni tty1 Mon Dec 2 22:12  22:12 (00:00)
rahma tty1 Mon Dec 2 22:11  22:11 (00:00)

切割日志

因为*/var/log/wtmp记录每次的登录活动文件的大小可能会快速地增长。默认上Linux会每月切割 /var/log/wtmp/。切割的策略放在/etc/logrotate.conf 文件中。这里是我/etc/logrotate.conf**文件的内容。

/var/log/wtmp {
  monthly
  create 0664 root umtp
  minsize 1M
  rotate 1
}

对于 /var/log/btmp, 这里是默认的倒换活动配置

/var/log/btmp {
  missingok
  monthly
  create 0600 root umtp
  minsize 1M
  rotate 1
}

你可以根据需要自己修改。

总结

你可以结合这些参数来自定义last和lastb的输出。所有可以运行于last命令的参数都可运行在lastb命令上。更多细节,请通过在控制台输入man last来访问。

via: http://linoxide.com/linux-command/linux-last-command/

译者:geekpi 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出