Linux日志五大命令详解

1、who 命令who 命令查询 utmp 文件并报告当前登录的每个用户。Who 的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些不法用户，从而对其进行审计和处理。例如：运行 who 命令显示如下所示：

3、users 命令users 用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。运行该命令将如下所示

5、读者可以看到，使用上述命令显示的信息太多，区分度很小。所以，可以通过指明用户来显示其登录信息即可。例如：使用 last reoot 来显示 reboot 的历史登录信息，则如下所示：

7、lastlog 命令lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令检查某特定用户上次登录 的 时 间 ， 并 格 式 化 输 出 上 次 登 录 日志/var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog 显示**Never logged**。注意需要以 root 身份运行该命令。