详解Linux系统下三类主要日志子系统 （2）

日志使用注意事项

系统管理人员应该提高警惕，随时注意各种可疑状况，并且按时和随机地检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如:

■ 用户在非常规的时间登录;

■ 不正常的日志记录，比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;

■ 用户登录系统的IP地址和以往的不一样;

■ 用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录;

■ 非法使用或不正当使用超级用户权限su的指令;

■ 无故或者非法重新启动各项网络服务的记录。

另外, 尤其提醒管理人员注意的是: 日志并不是完全可靠的。高明的黑客在入侵系统后，经常会打扫现场。所以需要综合运用以上的系统命令，全面、综合地进行审查和检测，切忌断章取义，否则很难发现入侵或者做出错误的判断。

users命令: users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。运行该命令将如下所示:

[root@working]# users

root root //只登录了一个Root权限的用户。

last命令: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现其中存在的问题，确定不法用户，并进行处理。运行该命令，如下所示:

[root@working]# last 

devin pts/1 10.0.2.221 Mon Jul 21 15:08-down (8+17:46) 

devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11) 

changyi pts/2 10.0.2.141 Mon Jul 21 14:12 - 14:12 (00:00) 

devin pts/1 10.0.2.221 Mon Jul 21 12:51 - 14:40 (01:49) 

reboot system boot 2.4.18 Fri Jul 18 15:42 (11+17:13) 

reboot system boot 2.4.18 Fri Jul 18 15:34 (00:04) 

reboot system boot 2.4.18 Fri Jul 18 15:02 (00:36)

读者可以看到，使用上述命令显示的信息太多，区分度很小。所以，可以通过指明用户来显示其登录信息即可。例如: 使用last devin来显示devin的历史登录信息，则如下所示:

[root@working]# last devin 

devin pts/1 10.0.2.221 Mon Jul 21 15:08 - down (8+17:46) 

devin pts/1 10.0.2.221 Mon Jul 21 14:42 - 14:53 (00:11)

ac命令:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。另外，可以加一些参数，例如，last -t 7表示显示上一周的报告。

lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示“**Never logged**”。注意需要以root身份运行该命令。运行该命令如下所示:

[root@working]# lastlog 

Username Port From Latest 

root pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005 

opal pts/1 10.0.2.129 二 5月 10 10:13:26 +0800 2005