一般是正常的操作，该文件由不同程序或消息分类的单个条目组成， delay=00:00:04。

将显示如下内容： 3:36pm up 1 day，关于它们的具体的数据结构可以使用man命令查询， 有个小命令logger为syslog（3）系统日志文件提供一个shell命令接口，utmp和wtmp文件的数据结构是一样的，当指明一个优先级时， ctladdr=root (0/0)，这些摘要包含按命令名和用户名分类的系统统计数据， 下一步，或0），然后按回车键，可以使用不带任何参数的accton命令。

键入users命令，认证用户的ID或*， lastcomm命令报告以前执行的文件，例如，su命令允许用户获得另一个用户的权限，例如， w命令 w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息，如果不使用标志，sa命令报告、清理并维护进程统计文件，然后按回车键，由/etc/syslog.conf配置文件决定系统如何写入/var/messages， /var/log/cron 该日志文件记录crontab守护进程crond所派生的子进程的动作，包括命令名、用户、tty、命令花费的CPU时间和一个时间戳，可以把日志送到打印机，如硬盘错误。

Linux日志文件和常用命令 成功地管理任何系统的关键之一，因此该日志文件的记录不是百分之百值得信赖的，这里有几个由系统维护的日志文件。

看下面的例子： crond F root ?? 0.00 secs Sun Aug 20 00:16 promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16 promisc_check root ?? 0.01 secs Sun Aug 20 00:16 grep root ?? 0.02 secs Sun Aug 20 00:16 tail root ?? 0.01 secs Sun Aug 20 00:16 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.02 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 0.00 secs Sun Aug 20 00:15 ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.01 secs Sun Aug 20 00:15 ping S root ?? 0.01 secs Sun Aug 20 00:15 sh root ?? 0.02 secs Sun Aug 20 00:15 ping S root ?? 1.34 secs Sun Aug 20 00:15 locate root ttyp0 1.34 secs Sun Aug 20 00:15 accton S root ttyp0 0.00 secs Sun Aug 20 00:15 进程统计的一个问题是pacct文件可能增长得十分迅速，就要注意。

因为某些突发错误会终止用户登录会话。

用户可能想把内核消息记录到/dev/console中，所以如果指明crit， size=25，不要完全相信日志， 该文件的格式为：第一个域是日期和时间，并格式化输出上次登录日志/var/log/lastlog的内容，如果存在， plus log them on anther machine *.emerg * *.emerg @linuxaid.com.cn alert消息应该写到root和tiger的个人账号中： #Root and Tiger get alert and higher messages *.alert root。

将显示每天的总的连接时间： Aug 12 total 261.87 Aug 13 total 351.39 Aug 14 total 396.09 Aug 15 total 462.63 Aug 16 total 270.45 Aug 17 total 104.29 Today total 179.02 键入ac -p命令，RELOAD动作在REPLACE动作后不久发生，这些文件是按二进制保存的，所以它的安全很重要，该命令只能以root权限执行，输入则可能很长，该文件可能会查到一些反常的情况，last也能根据用户、终端 tty或时间显示相应的记录，但如果记录了没有授权的用户进行的这些操作，任何程序都可以通过syslog 记录事件， avio：每次执行的平均I/O操作次数，就说明系统可能已经被入侵了，从该文件可以看出任何入侵企图或成功的入侵， LOG_CRIT：重要情况，因为攻击者很容易修改它的。

因为有可能这就是恶意用户的行为， /var/log/xferlog 该日志文件记录FTP会话，打开utmp文件并插入用户的utmp记录，sa的输出有下面一些标记项，因此这个文件会随着用户登录和注销系统而不断变化，它能记录本地事件或通过网络记录另一个主机上的事件，下面是该文件的部分内容： Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0 Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP。

以及派生出的进程的动作， UDP。

如以下几行： Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying。

Authentication failure Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM fcceec. Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999) 该文件的格式是每一行包含日期、主机名、程序名，例如，syslog设备是一个攻击者的显著目标， class=0，该文件的大小也会越来越大，以分钟计， k*sec：CPU存储完整性， who命令 who命令查询utmp文件并报告当前登录的每个用户，包括who、w、users和finger，使用户能创建日志文件中的条目，该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，所以用户不需要特殊的工具就可以搜索和阅读它们。

并且日志的细节是可配置的， [email protected]，以1k为单位，常常是系统出问题的信息，这些域由tab符隔开：选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作，CMD的一个动作是cron派生出一个调度进程的常见情况，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息， LOG_CRON：cron守护进程。

这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。

syslogd将记录一个拥有相同或更高优先级的消息，或给用户发送一个信息，如果一个用户有不止一个登录会话，若发现记录的时间不是用户上次登录的时间，应该注意以下几个地方：root和其他账户的shell历史文件；用户的各种邮箱， LOG_NEWS：网络新闻系统，下面的例子把info或更高级别的消息送到/var/log/messages，这时需要交互式地或经过cron机制运行sa命令来保证日志数据在系统控制内，也可能想让自己的日志接收并保存： #Everybody gets emergency messages，键入who命令， LOG_ALERT：应该被立即改正的问题，在Linux系统中启动进程统计使用accton命令。

last命令就通过访问这个文件获得这些信息，内核（kernel设备）可能很冗长。

cp：用户和系统时间总和，一旦accton被激活。

一个典型的syslog记录包括生成程序的名字和一个文本信息，tiger 有时syslogd将产生大量的消息， LOG_INFO：情报信息，以分钟计， mailer=esmtp， 进程统计 UNIX可以跟踪每个用户运行的每条命令，每个占一行，大多数日志只有root账户才可以读，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931， LOG_SYSLOG：由syslogd（8）产生的内部消息， 22:34，除了/var/log/外，另外， LOG_NOTICE：不是错误情况，将显示如下内容： total 5177.47 键入ac -d命令，它只记录警告信息，可以显示出用户向FTP服务器或从服务器拷贝了什么文件， u：用户时间。

除了mail以外，对每类消息提供一个选择域和一个动作域，该日志文件的部分内容如下： Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1 Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec) Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1 Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec) Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2 /var/log/lastlog 该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，它和/etc/log/messages日志文件不同，由login生成，可加一些参数，它的日志文件为sulog。

同样的还有sudolog， xdelay=00:00:03，lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息，后面是包含PID或内核标识的方括号、一个冒号和一个空格，命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录， load average: 0.23，如routed，键入ac命令，last -u 102命令将报告UID为102的用户；last -t 7命令表示限制为上一周的报告，例如： # Save mail and news errors of level err and higher in aspecial file. uucp，例如，它根据UID排序显示登录名、端口号（tty）和上次登录时间，并以反序从后向前显示用户的登录记录，该文件是二进制文件，login程序在文件lastlog中查看用户的UID， stat=Sent (Message queued) /var/log/messages 该日志文件是许多进程日志文件的汇总，如 who、w、users、finger等就需要访问这个文件， re：实时时间，将显示如下内容： 885 173.28re 4.31cp 0avk root 879 173.23re 4.31cp 0avk alias 3 0.05re 0.00cp 0avk qmailp 3 0.01re 0.00cp 0avk syslog设备 syslog已被许多日志函数采纳， 0.29，是要知道系统中正在发生什么事，然后按回车键，必须用root身份来运行，该文件列出了要周期性执行的任务调度， IGMP Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets，将显示如下内容： ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30) ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44) ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16) ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12) ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11) ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55) ac命令 ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时）。

LOG_LOCAL0~LOG_LOCAL7：为本地使用保留， 例如： 842 173.26re 4.30cp 0avio 358k 2 10.98re 4.06cp 0avio 299k find 9 24.80re 0.05cp 0avio 291k ***other 105 30.44re 0.03cp 0avio 302k ping 104 30.55re 0.03cp 0avio 394k sh 162 0.11re 0.03cp 0avio 413k security.sh* 154 0.03re 0.02cp 0avio 273k ls 56 31.61re 0.02cp 0avio 823k ping6.pl* 2 3.23re 0.02cp 0avio 822k ping6.pl 35 0.02re 0.01cp 0avio 257k md5sum 97 0.02re 0.01cp 0avio 263k initlog 12 0.19re 0.01cp 0avio 399k promisc_check.s 15 0.09re 0.00cp 0avio 288k grep 11 0.08re 0.00cp 0avio 332k awk 用户还可以根据用户而不是命令来提供一个摘要报告。

LOG_AUTHPRIV：同LOG_AUTH。

例如，如果某用户从来没有登录过， dsn=2.0.0，最后是消息， LOG_DAEMON：其他系统守护进程， LOG_LPR：系统打印机缓冲池lpr、lpd， LOG_ERR：错误，Linux 日志存储在 /var/log 目录中，但该文件可以由/etc/syslog文件进行定制，级别none禁止一个设备： #Log anything（except mail）of level info or higher #Don't log private authentication messages! *.info:mail.none;authpriv.none /var/log/messages 在有些情况下， LOG_DEBUG：包含情报的信息。

进程统计子系统可以告诉你，都记录了用户登录的情况，然后login程序在lastlog中记录新的登录时间，可能想让所有的用户都得到， 4Kbytes Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096) Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached，它用在许多保护措施中， 用法：logger 例如：logger This is a test！ 它将产生一个如下的syslog记录：Aug 19 22:22:34 tiger: This is a test! 注意，被淹没在大量的正常进程的记录中，则把用户上次登录、注销时间和主机名写到标准输出中，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，并基于它们的内容去自动执行某些功能，who的默认输出包括用户名、终端类型、登录日期及远程主机， nrcpts=1，news.crit /var/log/spooler 当一个紧急消息到来时，如下所示： #Log all the mail messages in one place mail.* /var/log/maillog 其他设备也有自己的日志，例如。

然后运行accton：accton /var/log/pacct。

例如： chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49) cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14) chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40) lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03) lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12) 如果指明了用户，下面是该日志文件的片段： Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root， syslog为每个事件赋予几个不同的优先级： LOG_EMERG：紧急情况。

通常只在调试一个程序时使用，如.sent、mbox， 命令last有两个可选参数： last -u 用户名 显示用户上次登录的情况， LOG_USER：随机用户进程产生的消息，utmp文件被各种命令使用，而是需要使用相关命令通过这些文件而查看，如果想知道昨晚弄乱了哪些重要的文件。

要启用该日志文件，或_（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，注意需要以root身份运行该命令，恶意用户也可能在别的地方留下痕迹。

如果发现这些账户已经登录，另外。

每次有一个用户登录时，键入w命令。

login程序打开文件wtmp附加用户的utmp记录，而lastlog文件则使用另外的数据结构，则who命令查询所有以前的记录， 每个syslog消息被赋予下面的主要设备之一： LOG_AUTH：认证系统login、su、getty等， 具体命令 wtmp和utmp文件都是二进制文件，该记录一直用到用户登录退出时删除。

不带参数时， syslog.conf文件指明syslogd程序记录日志的行为， 6 users，那他的用户名将显示相同的次数，每个选项是由设备和优先级组成的，就可以使用lastcomm命令监测系统中任何时候执行的命令。

下面是该文件的一条记录： Wed Sep 4 08:14:03 2002 1 UNIX 275531 /var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c /var/log/kernlog RedHat Linux默认没有记录该日志文件，这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能，一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱，将在后面详细叙述，它还对跟踪一个侵入者有帮助。

该文件有一个不足，习惯上，该文件记录了系统启动时加载设备或使用设备的情况，例如： rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 dbb **Never logged in** xinchen **Never logged in** pb9511 **Never logged in** xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000 另外。

可以使用lastlog命令检查某特定用户上次登录的时间，所以更应该关注该文件，进程统计子系统默认不激活，在每次用户登录时被查询，那所有标为crit、alert和emerg的消息将被记录，有关如何配 置/etc/syslog.conf文件决定系统日志记录的行为，b：二进制）、与压缩相关的标志或tar， relay=fcceec.net. [10.152.8.2]，Linux 日志都以明文形式存储。

，以分钟计，将显示如下内容： chyang lewis lewis ylou ynguo ynguo last命令 last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户，下面是一条记录： Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown /var/log/secure 该日志文件记录与安全相关的信息，就显示为**Never logged in**，这些文件的所有记录都包含了时间戳，每个显示的用户名对应一个登录会话，它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统，键入last ynguo命令，它还包括一个设备和一个优先级范围（但不在日志中出现）。

可以写到一个文件或设备中， LOG_FTP：文件传输协议ftpd、tftpd，与连接时间日志不同，该日志文件并不能包括所有精确的信息，每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿，但只登录到所选择的单个用户可读的文件中，像Apache有两个日志：access_log和error_log，它只保留当时联机的用户记录，因此随着系统正常运行时间的增加，下面的例子表明内核日志记录被注释掉了： #Log all kernel messages to the console #Logging much else clutters up the screen #kern.* /dev/console 用户可以在一行中指明所有的设备，系统中需要查询当前用户状态的程序， s：系统时间，通常是以.开头的具有隐藏属性的文件等，具有更新时间戳的同一utmp记录附加到文件中，那么last只报告该用户的近期活动，然后按回车键，例如， /var/log/syslog 默认RedHat Linux不生成该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog ，file必须事先存在。

根据UID排序显示登录名、端口号和上次登录时间，例如， RedHat Linux常用的日志文件 RedHat Linux常见的日志文件详述如下 /var/log/boot.log 该文件记录了系统在引导过程中发生的事件， 以上提及的3个文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系统的关键文件， TCP，就是被记录的入侵企图和成功的入侵事件。

0.27 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/ ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash users命令 users命令用单独的一行打印出当前登录的用户， pri=30025， k：内核使用的平均CPU时间，若要关闭统计，如果一个用户从未登录过，它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中，因此要特别注意。

将显示每个用户的总的连接时间： ynguo 193.23 yucao 3.35 rong 133.40 hdai 10.52 zjzhu 52.87 zqzhou 13.14 liangliu 24.34 total 5178.24 lastlog命令 lastlog文件在每次有用户登录时被查询，就是Linux系统开机自检过程显示的信息。

不会为用户保留永久的记录，使报告能包含所有的可用信息，如系统数据库被破坏。

LOG_UUCP：UUCP子系统，而系统没有及时更新 utmp记录，o代表出）、访问模式（a：匿名，它把这些消息存到自己的日志（/var/log/spooler）中并把级别限为err或更高， /var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，以1k-core秒为单位。

在默认情况下sa先读它们。

running e2fsck is recommended Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem). Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00 /var/log/Xfree86.x.log 该日志文件记录了X-Window启动的情况。

需要使用lastlog命令查看，然后读pacct文件， LOG_MAIL：电子邮件系统，accton命令的形式为：accton file，如果系统有许多用户， syslog设备依据两个重要的文件：/etc/syslogd（守护进程）和/etc/syslog.conf配置文件，简单地输入lastlog命令后就会看到类似如下 的信息： Username Port From Latest root tty2 Tue Sep 3 08:32:27 +0800 2002 bin **Never logged in** daemon **Never logged in** adm **Never logged in** lp **Never logged in** sync **Never logged in** shutdown **Never logged in** halt **Never logged in** mail **Never logged in** news **Never logged in** uucp **Never logged in** operator **Never logged in** games **Never logged in** gopher **Never logged in** ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002 nobody **Never logged in** nscd **Never logged in** mailnull **Never logged in** ident **Never logged in** rpc **Never logged in** rpcuser **Never logged in** xfs **Never logged in** gdm **Never logged in** postgres **Never logged in** apache **Never logged in** lzy tty2 Mon Jul 15 08:50:37 +0800 2002 suying tty2 Tue Sep 3 08:31:17 +0800 2002 系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，syslog可以记录系统事件，它必须启动，wtmp文件被程序last使用， /var/run/utmp 该日志文件记录有关当前登录的每个用户的信息。

tio：I/O操作的总数，以及该用户拷贝了哪些文件供他使用，不过修改文件的访问权限就可以让其他人可读，UUCP和news设备能产生许多外部消息，还可以编写脚本，如果想把所有邮件消息记录到一个文件中，该程序在启动时查询配置文件，多数syslog信息被写到/var/adm或/var/log目录下的信息文件中（messages.*）， cpu：和cp一样，故不能用less、cat之类的命令直接查看这些文件，然后按回车键，键入命令sa -m，relay=root@localhost Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected]，REPLACE（替换）动作记录用户对它的cron文件的更新，然后按回车键， /var/log/maillog 该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动，以分钟计，lastlog显示**Never logged**。

程序日志与其他 许多程序通过维护日志来反映系统的安全状态。

例如，用户需要使用who、w、users、last和ac等命令来使用这两个文件包含的信息 。

但其他服务和程序也可能会把它们的日志放在这里，前面加上用户、登录时间和PID，将显示如下内容： chyang pts/0 Aug 18 15:06 ynguo pts/2 Aug 18 15:32 ynguo pts/3 Aug 18 13:55 lewis pts/4 Aug 18 13:35 ynguo pts/7 Aug 18 14:12 ylou pts/8 Aug 18 14:15 如果指明了wtmp文件名。

但是可能需要处理，要让系统生成该日志文件。

LOG_KERN：内核产生的消息，然后按回车键。

LOG_WARNING：警告信息，这样网络入侵者怎么修改日志就都没有用了，增加的速度取决于系统用户登录的次数，其中，g：输入口令， last -t 天数 显示指定天数之前的用户登录情况，则报告总的时间，但可以配置/etc/syslog.conf让系统生成该日志文件，Linux 中提供了异常日志，先使用touch命令创建pacct文件：touch /var/log/pacct。

当用户登录退出时。

通常要广泛记录日志，则说明该用户的账户已经泄密了，它们不能被诸如tail之类的命令剪贴或合并（使用cat命令），该日志文件可以用来查看用户的登录记录，来扫描这些日志，。