本文共 2747 字，大约阅读时间需要 9 分钟。

Linux 系统日志文件及用户登录命令

Linux 日志文件说明

Linux 系统中的日志文件通常存放在以下目录下：

• /var/log/
• /run/

这些日志文件大多可以通过专门的命令查看，如 cat、vi 等命令在某些场景下可能无法使用。因此，了解一些专门的日志查看命令是非常重要的。

常见的日志文件

• /var/log/messages

  系统启动后的信息和错误日志，是 Red Hat Linux 中最常用的日志之一。

• /var/log/secure

  与安全相关的日志信息。

• /var/log/maillog

  与邮件相关的日志信息。

• /var/log/cron

  与定时任务相关的日志信息。

• /var/log/spooler

  与 UUCP 和 news 设备相关的日志信息。

• /var/log/boot.log

  守护进程启动和停止相关的日志消息。

• /var/log/wtmp

  该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。

一、w 命令

w命令用于显示目前登入系统的用户信息。

命令语法

w [-fhlsuV] [username]

参数说明

• -f：开启或关闭显示用户从何处登入系统的选项。
• -h：不显示各栏位的标题信息列。
• -l：使用详细格式列表（这是预设值）。
• -s：使用简洁格式列表，不显示用户登入时间、终端机阶段作业和程序所耗费的 CPU 时间。
• -u：忽略执行程序的名称，以及该程序耗费 CPU 时间的信息。
• -V：显示版本信息。

语法示例

[root@centos7 ~]# w

2. 显示某个用户的相关信息：

[root@centos7 ~]# w lisi

输出说明

第一行信息输出与 uptime 命令类似，包含以下信息：

• 12:30:08：当前系统时间。
• up 2:14：系统运行时长。
• 3 users：当前登录用户数。
• load average: 0.00, 0.01, 0.05：过去 1、5、15 分钟的平均负载信息。

第二行包括以下字段：

• USER：登录用户名。
• TTY：登录用户使用的终端名。
• FROM：登录用户来源的主机名或 IP 地址。
• LOGIN@：用户登录时长。
• IDLE：自用户上一次与终端进行交互以来的空闲时间。
• JCPU：附加到 tty 的所有进程使用的时间。
• PCPU：用户当前进程所用的时间。
• WHAT：用户当前的进程及选项/参数。

---

二、who 命令

who命令用于显示系统中有哪些用户正在登录，以及用户相关信息。

命令语法

who [-H] [-i] [-m] [-M] [-p] [-s] [-t] [-T] [-V] [-w]

参数说明

• -H 或 --heading：显示各栏位的标题信息列。
• -i 或 -u 或 --idle：显示闲置时间。若该用户在前一分钟内有进行任何动作，将标记为 "."；否则标记为 "old"。
• -m：显示类似 "am I logged in?" 的信息。
• -M：不显示最后一次登录的信息。
• -p：显示终端数 getPts/_rename() 的信息。
• -s：忽略不予处理，仅负责解决 who 指令其他版本的兼容性问题。
• -t：显示用户的时间_ABOUT_信息。
• -T：显示用户的信息状态栏（ Mesg ）。
• -V：显示版本信息。

语法示例

3. 显示当前登录系统的用户：

[root@centos7 ~]# who

2. 只显示当前用户：

[root@centos7 ~]# who -m -H

3. 显示用户的详细信息：

[root@centos7 ~]# who -H

---

三、last 命令

last命令用于查看系统中近期用户或终端的登录情况，主要读取 /var/log/wtmp 文件记录的信息。

命令语法

last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-a dioxFw] [username..] [tty..]

常用参数

• -num 或 -n num：指定输出记录的条数。
• -f file：指定记录文件。
• -t YYYYMMDDHHMMSS：显示指定时间之前的登录情况。
• -R：不显示登录系统或终端的主机名称或 IP 地址。
• -a dioxFw：分别表示将登录系统或终端的主机名转换为 IP 地址，或显示完整的用户名或域名。

语法示例

4. 显示最后 10 记录的用户信息：

[root@centos7 ~]# last -n 10

2. 读取指定文件的记录：

[root@centos7 ~]# last -10 -f /var/log/btmp

3. 显示指定时间之前的记录：

[root@centos7 ~]# last -5 -t 20200111000000

---

四、lastlog 命令

lastlog命令用于显示系统中所有用户最近一次登录的信息，读取的文件是 /var/log/lastlog。

命令语法

lastlog [-b days] [-t days] [-u username]

常用参数

• -b days：显示指定天数前的登录信息。
• -t days：显示指定天数以来的登录信息。
• -u username：显示指定用户的最近登录信息。
• -h：显示帮助信息。

语法示例

4. 显示系统中所有用户最近一次登录信息：

[root@centos7 ~]# lastlog

2. 显示指定天数以来的登录信息：

[root@centos7 ~]# lastlog -t 3

3. 显示指定用户的最近登录信息：

[root@centos7 ~]# lastlog -u lisi

---

五、lastb 命令

lastb命令用于列出登入系统失败的用户相关信息，读取的文件是 /var/log/btmp。

命令语法

lastb [-a] [-d] [-f file] [-n num] [-R] [-x]

常用参数

• -a：将登录系统或终端的主机名称或 IP 地址显示在最后一行。
• -d：将 IP 地址转换为主机名称。
• -f file：指定记录文件。
• -n num：设置列出名单的显示列数。
• -R：不显示登录系统或终端的主机名称或 IP 地址。
• -x：显示系统关机、重新开机及执行等级的变化等信息。

语法示例

4. 显示登录失败的用户：

[root@centos7 ~]# lastb

2. 显示登录失败的用户的详细信息：

[root@centos7 ~]# lastb -a

3. 显示指定文件的登录失败信息：

[root@centos7 ~]# lastb -f /var/log/btmp

---

通过上述命令，可以全面了解 Linux 系统中用户的登录情况及相关日志信息。