每天学点之CentOS系统痕迹查询

在Linux中，用户所做的操作、系统运行情况等重要数据都存放在系统相应的日志文件中，这样可以使的在维护中做到有迹可循。方便排查问题。但是某些重要的日志文件若使用vi/vim编辑器无法查看。这是因为vi/vim这样查看并不准确（可能存在人为修改或者误改的情况）。但是可以使用相对应的命令进行查看。

　　一、w 命令 （显示谁登录了，他们在做什么） w 命令查看的日志是 /var/run/utmp

　　上图所示，登录两个用户，系统中登录两个用户。（root与user1）

　　w命令输出了三行信息。（三、四两行用户不同，但各个参数含义是一样的）

　　第一行：系统当前时间、系统开机时间、登录用户数、系统前1分钟CPU负载、系统前5分钟CPU负载、系统前15f分钟CPU负载。

　　（其中平均负载是一个参考值）。

　　第二行：登录的用户、登录的终端、登录端的IP地址、登录时间、用户闲置时间、所有进程占用CPU时间、当前进程所占CPU时间、用户正在进行的操作。

　　其中 （登录的终端：tty1-6代表本地字符终端、tty7代表本地图形终端、pts/0-255代表远程终端）（-bash 代表当前用户正在闲置或运行w时无操作）

　　二、who 命令 （显示谁在登录） who 命令查看的日志是 /var/run/utmp

　　相对于 w 命令 who 命令更加简单明了

　　登录用户名、登录的终端、登录时间、登录者的IP

　　三、last 命令 （显示包括正在登录或者之前登录过的用户的列表） last 命令查看的日志是/var/log/wtmp

左→：用户名、终端号、登录者IP地址、登录时间、退出时间

　　其中包括系统重启也记录在内。

　　查询具体时间内的登录用户 [-t YYYYMMDDHHMMSS]

　　四、lasrlog 命令 （查看系统内所有用户最后一次登录时间） lastlog 命令查看的是/var/log/lastlog

左→：用户名、终端号、登录者IP地址、登录时间

　　五、lastb 命令 （显示最后登录错误的用户）lastb 命令查看的是/var/log/btmp

左→：用户名、登录方式、登录者IP地址、尝试登录时间

　　六、history 命令（查看此用户所执行过的命令，最多记录1000个）history 命令查看的~/.bash_history。

也可以使用cat .bash_history 命令直接查看这个文件，效果是一样的。