自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Linux內(nèi)置的審計(jì)跟蹤工具:last命令

作者:wxy譯
系統(tǒng) Linux
Linux有一個內(nèi)置工具last,對于審計(jì)追蹤非常有用??梢圆榭醋詈蟮顷懛?wù)器用戶的用戶名、tty、IP地址(如果用戶是遠(yuǎn)程連接的話)、日期-時間等,來幫助你保護(hù)服務(wù)器。

如果你是一個服務(wù)器管理員,你或許知道你要保護(hù)你的服務(wù)器的話,不僅是從外部,還要從內(nèi)部保護(hù)。Linux有一個內(nèi)置工具來看到***登陸服務(wù)器的用戶,可以幫助你保護(hù)服務(wù)器。

[[108902]]

這個命令是last。它對于追蹤非常有用。讓我們來看一下last可以為你做些什么。

last命令的功能是什么

last顯示的是自/var/log/wtmp文件創(chuàng)建起所有登錄(和登出)的用戶。這個文件是二進(jìn)制文件,它不能被文本編輯器瀏覽,比如vi、Joe或者其他軟件。這是非常有用的,因?yàn)橛脩?或者root)不能像他們希望的那樣修改這個文件。

last會給出所有已登錄用戶的用戶名、tty、IP地址(如果用戶是遠(yuǎn)程連接的話)、日期-時間和用戶已經(jīng)登錄的時間。

如何運(yùn)行l(wèi)ast

你只要在控制臺中輸入last即可。這是個例子:

$ last

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot 2.6.32-358.23.2 Mon Dec 2 09:20 - 13:25 (04:05)

這里是如何閱讀last信息:

  • ***列告訴誰是用戶

  • 第二列給出了用戶如何連接的信息

    • pts/0 (偽終端) 意味著從諸如SSH或telnet的遠(yuǎn)程連接的用戶
    • tty (teletypewriter) 意味著直接連接到計(jì)算機(jī)或者本地連接的用戶
    • 除了重啟活動,所有狀態(tài)會在啟動時顯示

  • 第三列顯示用戶來自哪里。如果用戶來自于遠(yuǎn)程計(jì)算機(jī),你會看到一個主機(jī)名或者IP地址。如果你看見:0.0 或者什么都沒有,這意味著用戶通過本地終端連接。除了重啟活動,內(nèi)核版本會顯示在狀態(tài)中。

  • 剩下的列顯示日志活動發(fā)生在何時。括號中的數(shù)字告訴我們連接持續(xù)了多少小時和分鐘。

日常操作中l(wèi)ast的一些示例

限制顯示行的數(shù)目

當(dāng)你有很多行要顯示時,你可以限制你想看到的行的數(shù)目.使用 -n 參數(shù)來這么做。

$ last -n 3

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot 2.6.32-358.23.2 Mon Dec 2 09:20 - 13:25 (04:05)

-n 參數(shù)會使last顯示從當(dāng)前時間到以后的3條記錄。

不顯示主機(jī)名

使用 -R 參數(shù)來這么做。這里是例子 :

$ last -R

leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53)
pungki tty1 Mon Dec 2 09:31 still logged in
reboot system boot Mon Dec 2 09:20 - 13:25 (04:05)

如你所見,現(xiàn)在在也沒有關(guān)于主機(jī)或者IP地址的信息了。

***一列顯示主機(jī)名

要這么做,我們使用 -a參數(shù)

$ last -a

leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53) 10.0.76.162
pungki tty1 Mon Dec 2 09:31 still logged in :0.0
reboot system boot Mon Dec 2 09:20 - 13:25 (04:05) 2.6.32-358.23.2.el6.i686

現(xiàn)在主機(jī)信息諸如10.0.76.162 會放在***一列。

顯示完整登入登出時間日期

對于此,你可以使用 -F 參數(shù)。這個是個示例:

$ last -F

leni pts/0 10.0.76.162 Mon Dec 2 12:32:24 2013 – Mon Dec 2013 13:25:24 2013 (00:53)

打印特定的用戶名

如果你想要追蹤特定的用戶,你可以特別打印它。在last命令后面輸入用戶名。

$ last leni

leni tty1 Mon Dec 2 18-42 still logged in
leni pts/0 Mon Dec 2 12:32 - 13:25 (00:53) 10.0.76.162

或者你想要知道reboot何時完成,你也可以這樣顯示它:

$ last reboot

reboot system boot Mon Dec 2 09:20 - 16:55 (07:34)
reboot system boot Sun Dec 1 04:26 - 04:27 (00:01)
reboot system boot Wed Nov 27 20:27 - 01:24 (04:57)
reboot system boot Tue Nov 26 21:06 - 06:13 (09:06)

打印特定 / pts

last同樣可以打印特定tty/pts的信息. 只要在last命令后面輸入tty名字或者pty名字。

這里有一些例子:

$ last tty1

pungki tty1 Mon Dec 2 09:31 still logged in
pungki tty1 Mon Dec 2 04:26 – down (00:00)
pungki tty1 Mon Dec 2 04:07 – down (00:00)
pungki tty1 Sun Dec 1 18:55 – 04:07 (09:12)

$ last pts/0

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki pts/0 :0.0 Wed Nov 27 20:28 – down (04:56)

當(dāng)你看到 down 的值 - 比如上面的第二行,它意味著用戶從某個時間登錄直到系統(tǒng)重啟或關(guān)機(jī)。

使用另一個文件而不是 /var/log/wtmp

默認(rèn)上,last命令會從/var/log/wtmp中解析信息。如果你想要last命令從另外一個文件解析,你可以使用-f 參數(shù)。比如,當(dāng)日志切割后,讓我們假設(shè)切割后,之前的文件名變?yōu)?var/log/wtmp.1。那么last命令會像這樣。

$ last -f /var/log/wtmp.1

顯示運(yùn)行級別改變

這里有個-x參數(shù)來顯示運(yùn)行級別。這里示例輸出:

pungki tty1 Mon Dec 2 19:21 still logged in
runlevel (to lvl 3) 2.6.32-358.23.2 Mon Dec 2 19:20 – 19:29 (00:08)
reboot system boot 2.6.32-358.23.2 Mon Dec 2 19:20 – 19:29 (00:08)
shutdown system down 2.6.32-358.23.2 Mon Dec 2 18:56 – 19:20 (00:23)
runlevel (to lvl 0) 2.6.32-358.23.2 Mon Dec 2 18:56 – 18:56 (00:00)
leni tty1 Mon Dec 2 18:42 – down (00:00)

你可以看到這里有兩個運(yùn)行級別。運(yùn)行級別to lvl 3的條目意味著系統(tǒng)運(yùn)行在完整的控制臺模式,而沒在X window或者GUI中。同時,當(dāng)系統(tǒng)關(guān)機(jī)時,實(shí)際上是切換為運(yùn)行級別0,這就是為什么last會顯示to lvl 0。

 

[[108903]]

查看失敗登錄

last命令用了記錄成功登錄,而 lastb 命令記錄失敗的登錄嘗試。你必須擁有root權(quán)限才能運(yùn)行l(wèi)astb命令。這里有一個lastb命令的示例輸出。lastb會解析/var/log/btmp的信息。

# lastb

leni tty1 Mon Dec 2 22:12 – 22:12 (00:00)
rahma tty1 Mon Dec 2 22:11 – 22:11 (00:00)

切割日志

因?yàn)?var/log/wtmp記錄每次的登錄活動,文件的大小可能會快速地增長。默認(rèn)上,Linux會每月切割 /var/log/wtmp/。切割的策略放在/etc/logrotate.conf 文件中。這里是我/etc/logrotate.conf*文件的內(nèi)容。

/var/log/wtmp {
  monthly
  create 0664 root umtp
  minsize 1M
  rotate 1
}

對于 /var/log/btmp, 這里是默認(rèn)的倒換活動配置

/var/log/btmp {
  missingok
  monthly
  create 0600 root umtp
  minsize 1M
  rotate 1
}

你可以根據(jù)需要自己修改。

總結(jié)

你可以結(jié)合這些參數(shù)來自定義last和lastb的輸出。所有可以運(yùn)行于last命令的參數(shù)都可運(yùn)行在lastb命令上。更多細(xì)節(jié),請通過在控制臺輸入man last來訪問。

via: http://linoxide.com/linux-command/linux-last-command/

譯者:geekpi 校對:wxy

責(zé)任編輯:黃丹 來源: Linux中國
last命令審計(jì)工具
相關(guān)推薦

2013-05-27 14:03:50

Linux跟蹤工具

2010-12-22 11:27:23

2012-06-27 09:41:51

ibmdw

2019-07-29 15:36:15

Linuxshell內(nèi)置命令

2010-06-23 14:45:02

Linux Bash

2022-09-29 10:51:18

ShellLinux命令審計(jì)

2023-01-11 08:59:33

Linuxtraceroute命令

2017-04-07 15:14:39

數(shù)據(jù)分析遼陽扶貧

2024-07-29 14:56:56

2024-01-03 15:35:56

Linux工具Tail命令

2020-10-16 16:20:38

LynisLinux審計(jì)工具

2011-06-03 10:00:51

2009-11-13 13:05:19

linux sar工具命令

2012-03-02 12:14:19

JavaJstackJmap

2025-03-03 01:00:00

PostgreSQL觸發(fā)器機(jī)制

2016-02-23 11:37:38

2025-04-02 08:45:00

Linux系統(tǒng)端口開放

2011-03-23 15:34:57

數(shù)據(jù)庫審計(jì)

2023-11-09 08:36:51

內(nèi)置工具類Spring

2010-06-07 12:51:51

Linux 查看進(jìn)程
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號