1、有關當前登錄用戶的信息記錄在文件utmp中;==who命令
2、登錄進入和退出紀錄在文件wtmp中;==w命令
3、最后一次登錄文件可以用lastlog命令察看;
4、messages======從syslog中記錄信息
注意:wtmp和utmp文件都是二進位文件,他們不能被諸如tail命令剪貼或合併(使用cat命令).用戶
需要使用who、w、users、last和ac來使用這兩個文件包含的信息.
例子:
last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶
users用單獨的一行列印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話
w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息
who命令查詢utmp文件並報告當前登錄的每個用戶
ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結的時間(小時)
utmp文件,它記錄當前登錄進系統的各個用戶;
包含下列結構的一個二進位記錄寫入這兩個文件中:
struct utmp {
char ut_line[8]; /* tty line: "ttyh0", "ttyd0", "ttyp0", ... */
char ut_name[8]; /* login name */
long ut_time; /* seconds since Epoch */
};
登錄時,login程序填寫這樣一個結構,然後將其寫入到utmp文件中,同時也將其添寫到wtmp文件中.註銷時, init進程將utmp文件中相應的記錄擦除(每個位元組都填以0 ),並將一個新記錄添寫到wtmp文件中.讀wtmp文件中的該註銷記錄,其ut_name欄位清除為0.在系統再啟動時,以及更改系統時間和日期的前後,都在wtmp文件中添寫特殊的記錄項.who( 1 )程序讀utmp文件,並以可讀格式列印其內容.後來的UNIX版本提供last( 1 )命令,它讀wtmp文件並列印所選擇的記錄.wtmp文件,它跟蹤各個登錄和註銷事件.
wted
wtmp/utmp日誌編輯程序.你可以使用這個工具編輯所有wtmp或者utmp類型的文件.
z2
utmp/wtmp/lastlog日誌清理工具.可以刪除utmp/wtmp/lastlog日誌文件中有關某個用戶名的所有條目.不過,如果用於Linux系統需要手工修改其源代碼,設置日誌文件的位置.
本文出自 「我的世界,我的夢」 博客,請務必保留此出處http://itshine.blog.51cto.com/648476/489687