日志深入Linux系统:查看登录日志(linux查看登录)
今天,我们要深入Linux系统,来看看如何查看登录日志。 当我们管理一台Linux服务器时,实时查看登录日志可以给我们带来把控服务器状态的便利。
首先,我们要知道Linux服务器中登录日志是存储在哪里。 Linux系统中,登录日志存储在/var/log/secure中,但在Ubuntu系列和CentOS 5.x 以下的Linux版本中,登录日志存储在/var/log/auth.log中。我们可以使用tail命令查看日志文件的最新内容:
tail -f /var/log/secure
在从登录日志中获得需要的信息时,可以使用grep命令,例如可以用grep命令查看某个IP或主机名登录失败的次数:
grep ‘Failed password’ /var/log/secure | grep 11.11.11.11
另外,也可以使用awk命令提取出我们想要的登录日志字段,例如提取所有账号的登录信息:
cat /var/log/secure | awk ‘{print$11,$13}’
还可以使用sed命令,来批量处理文本或文件,特别是当我们想格式化登录日志的内容时,例如把日志的日期格式变更为本地时区的格式:
sed -r ‘s/(^[A-Za-z]{3} [0-9]) [0-9]{2}” ([0-9]{2}:[0-9]{2}:[0-9]{2}) /\1T\2+0800/’ /var/log/secure
另外,要查看某台服务器上当前和曾经登录过的用户,可以使用last命令:
last
此外,如果我们想看到每一次登录的详情,可以使用lastlog命令,它会显示每个用户的最后一次登录信息:
lastlog
把以上命令结合在一起,可以更好地查看和管理Unix服务器中的登录日志。
通过本文,我们可以看到,查看登录日志是Linux系统中的一项最重要的任务,要得到准确的信息,我们需要掌握使用一些Linux命令的相关知识,搭建出实现我们查看登录日志的工具。这样就可以根据登录日志,更好地监控和管理Linux服务器。