当前页面位置: » 丰搜网 » 文档中心 » 详细内容
linux服务器日志管理详解(3)
如果指明了用户,那么last只报告该用户的近期活动,例如:last ynguo(回车)显示:
ynguo pts/4 simba.nic.ustc.e fri aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e thu aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e thu aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e thu aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e wed aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e wed aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e thu aug 1 20:30 - 21:26 (00:55)
ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 5177.47
ac -d(回车)显示每天的总的连结时间
aug 12 total 261.87
aug 13 total 351.39
aug 14 total 396.09
aug 15 total 462.63
aug 16 total 270.45
aug 17 total 104.29
today total 179.02
ac -p (回车)显示每个用户的总的连接时间
ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24
lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据uid排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示\"**never logged**。注意需要以root运行该命令,例如:
rong 5 202.38.64.187 fri aug 18 15:57:01 +0800 2000
dbb **never logged in**
xinchen **never logged in**
pb9511 **never logged in**
xchen 0 202.38.64.190 sun aug 13 10:01:22 +0800 2000
另外,可一加一些参数,例如,last -u 102将报告uid为102的用户;last -t 7表示限制上一周的报告。
进程统计
unix可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统缺省不激活,它必须启动。在linux系统中启动进程统计使用accton命令,必须用root身份来运行。accton命令的形式accton file,file必须先存在。先使用touch命令来创建pacct文件:touch /var/log/pacct,然后运行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令。
