12.3.2 用户登录日志

来源：互联网发布：手办淘宝店编辑：程序博客网时间：2024/04/28 23:26

12.3.2 用户登录日志

/var/log/wtmp和/var/log/btmp是Linux系统上用于保存用户登录信息的日志文件。其中wtmp用于保存用户成功登录的记录，而btmp则用于保存用户登录失败的日志记录，它们为系统安全审计提供了重要的信息依据。这两个文件都是二进制的，无法直接使用文本编辑工具打开，必须通过last和lastb命令进行查看。如果查看成功的用户登录记录，可以使用如下命令：

# last

//用户sam于9月9日10点10分从客户端192.168.7.174登录服务器，且尚未退出登录

sam pts/3 192.168.7.174 Tue Sep 9 10:10 still logged in

// 用户kelvin于9月8日20点01分从客户端192.168.6.217登录服务器，现已经退出，
登录时间持续3分钟19秒

kelvin pts/3 192.168.6.217 Mon Sep 8 20:01 - 23:20 (03:19)

ken pts/3 192.168.6.217 Mon Sep 8 19:49 - 19:59 (00:10)

sam pts/4 :0.0 Mon Sep 8 16:41 still logged in

sam pts/3 172.30.11.221 Mon Sep 8 11:05 - 17:25 (06:19)

ken pts/2 demoserver Mon Sep 8 10:47 still logged in

//用户sam于9月8日10点45分从本地登录服务器，且尚未退出登录

sam pts/1 :0.0 Mon Sep 8 10:45 still logged in

sam :0 Mon Sep 8 10:38 still logged in

sam :0 Mon Sep 8 10:38 - 10:38 (00:00)

sam pts/1 :0.0 Mon Sep 8 10:37 - 10:38 (00:00)

sam :0 Mon Sep 8 10:37 - 10:38 (00:00)

sam :0 Mon Sep 8 10:37 - 10:37 (00:00)

//系统上一次重启的时间为9月8日10点35分

reboot system boot 2.6.18-92.el5 Mon Sep 8 10:35 (23:35)

wtmp begins Mon Sep 8 10:35:25 2008 // wtmp文件自9月8日10点35分开始记录
// 登录日志

每行输出结果中都包括登录用户名、机器名或IP、尝试登录时间、运行时间等信息，其中still logged in表示该登录会话依然存在，用户并未退出登录。如果要查看不成功的用户登录记录，可使用如下命令：

# lastb

//用户ken于9月8日23点08分试图登录系统失败

ken pts/5 demoserver Mon Sep 8 23:08 - 23:08 (00:00)

sam pts/5 demoserver Mon Sep 8 21:28 - 21:28 (00:00)

Kelvin pts/5 demoserver Mon Sep 8 21:07 - 21:07 (00:00)

sam pts/5 demoserver Mon Sep 8 21:07 - 21:07 (00:00)

pts/2 demoserver Mon Sep 8 10:47 - 10:47 (00:00)

//btmp文件自9月8日10点47分开始记录日志

btmp begins Mon Sep 8 10:47:23 2008

系统管理员应该定期查看上述两个日志文件，检查是否有某些非法用户登录系统或者尝试登录系统，以确保系统安全。