针对Linux操作系统的日志深入分析 （2）

每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

2. 具体命令

wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示

　　
　　chyang pts/0 Aug 18 15:06 
　　ynguo pts/2 Aug 18 15:32 
　　ynguo pts/3 Aug 18 13:55 
　　lewis pts/4 Aug 18 13:35 
　　ynguo pts/7 Aug 18 14:12 
　　ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

　　
　　USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 
　　chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash 
　　ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05s w 
　　lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash 
　　lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ 
　　ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail 
　　ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash