linux查看登錄日誌

① 怎麼查看linux伺服器系統日誌

last

-a 把從何處登入系統的主機名稱或ip地址，顯示在最後一行。
-d 指定記錄文件。指定記錄文件。將IP地址轉換成主機名稱。
-f <記錄文件> 指定記錄文件。

-n <顯示列數>或-<顯示列數> 設置列出名單的顯示列數。

-R 不顯示登入系統的主機名稱或IP地址。
-x 顯示系統關機，重新開機，以及執行等級的改變等信息
以下看所有的重啟、關機記錄
last | grep rebootlast | grep shutdown

history

列出所有的歷史記錄：
[zzs@Linux] # history

只列出最近10條記錄：
[zzs@linux] # history 10 (注,history和10中間有空格)

使用命令記錄號碼執行命令,執行歷史清單中的第99條命令
[zzs@linux] #!99 (!和99中間沒有空格)

重復執行上一個命令
[zzs@linux] #!!

執行最後一次以rpm開頭的命令(!? ?代表的是字元串,這個String可以隨便輸，Shell會從最後一條歷史命令向前搜索，最先匹配的一條命令將會得到執行。)
[zzs@linux] #!rpm

逐屏列出所有的歷史記錄：
[zzs@linux]# history | more

立即清空history當前所有歷史命令的記錄
[zzs@linux] #history -c

cat, tail 和 watch

系統所有的日誌都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日誌)
cat /var/log/syslog 等
cat /var/log/*.log

tail -f
如果日誌在更新，如何實時查看 tail -f /var/log/messages
還可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方，-n表示多少秒刷新一次。
該指令，不會直接返回命令行，而是實時列印日誌文件中新增加的內容，
這一特性，對於查看日誌是非常有效的。如果想終止輸出，按 Ctrl+C 即可。
除此之外還有more,less,dmesg|more,這里就不作一一列舉了,因為命令太多了,關鍵看個人喜好和業務需求.個人常用的就是以上那些.《Linux就該這么學》一起學習linux
linux日誌文件說明
/var/log/message 系統啟動後的信息和錯誤日誌，是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
/var/log/wtmp 該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件

② `linux的登錄日誌怎麼查看

1、linux下登錄日誌記錄在：/var/log目錄里的secure文件。

查看ssh用戶的登錄日誌命令：cd/var/log &&moresecure

上圖中可以看到，用戶在11:05:57和12:24:33進行了兩次登錄。

2、使用last命令，可以列出目前與過去登錄系統的用戶相關信息。這是一個功能很強大的命令。

語法：last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]

例子：last -x ：顯示系統關閉、用戶登錄和退出的歷史

last -i：顯示特定ip登錄的情況

last -t 20150303120101：顯示20150303120101之前的登錄信息

③ 怎樣查看linux系統日誌

1、Linux下重要日誌文件介紹
/var/log/boot.log
該文件記錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的信息，如圖1所示：

圖1 /var/log/boot.log示意
/var/log/cron
該日誌文件記錄crontab守護進程crond所派生的子進程的動作，前面加上用戶、登錄時間和PID，以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新，該文件列出了要周期性執行的任務調度。RELOAD動作在REPLACE動作後不久發生，這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況。該文件的示意請見圖2：

圖2 /var/log/cron文件示意
/var/log/maillog
該日誌文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。圖3所示是該日誌文件的片段：

圖3 /var/log/maillog文件示意
該文件的格式是每一行包含日期、主機名、程序名，後面是包含PID或內核標識的方括弧、一個冒號和一個空格，最後是消息。該文件有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定製。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。
/var/log/syslog
默認Fedora不生成該日誌文件，但可以配置/etc/syslog.conf讓系統生成該日誌文件。它和/etc/log/messages日誌文件不同，它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件。要讓系統生成該日誌文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。該日誌文件記錄最近成功登錄的事件和最後一次不成功的登錄事件，由login生成。在每次用戶登錄時被查詢，該文件是二進制文件，需要使用lastlog命令查看，根據UID排序顯示登錄名、埠號和上次登錄時間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root許可權執行。簡單地輸入lastlog命令後就會看到類似圖4的信息：

圖4 lastlog命令的運行結果
/var/log/wtmp
該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。
/var/run/utmp
該日誌文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統而不斷變化，它只保留當時聯機的用戶記錄，不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序，如 who、w、users、finger等就需要訪問這個文件。該日誌文件並不能包括所有精確的信息，因為某些突發錯誤會終止用戶登錄會話，而系統沒有及時更新 utmp記錄，因此該日誌文件的記錄不是百分之百值得信賴的。
以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日誌子系統的關鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關命令通過這些文件而查看。其中，utmp和wtmp文件的數據結構是一樣的，而lastlog文件則使用另外的數據結構，關於它們的具體的數據結構可以使用man命令查詢。
每次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時間和主機名寫到標准輸出中，然後login程序在lastlog中記錄新的登錄時間，打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用，包括who、w、users和finger。
下一步，login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。
/var/log/xferlog
該日誌文件記錄ftp會話，可以顯示出用戶向FTP伺服器或從伺服器拷貝了什麼文件。該文件會顯示用戶拷貝到伺服器上的用來入侵伺服器的惡意程序，以及該用戶拷貝了哪些文件供他使用。
該文件的格式為：第一個域是日期和時間，第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a：ASCII，b：二進制)、與壓縮相關的標志或tar，或"_"(如果沒有壓縮的話)、傳輸方向(相對於伺服器而言：i代表進，o代表出)、訪問模式(a：匿名，g：輸入口令，r：真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l：RFC931，或0)，認證用戶的ID或"*"。圖5是該文件的部分顯示：

圖5 /var/log/xferlog文件示意
2、Linux日誌輸出查看方式
Linux下面提供了許多文本工具來查看和處理日誌文件，下面給讀者提供一些比較常見和有用的工具。
dmesg
使用dmesg命令可以快速查看最後一次系統引導的引導日誌。如圖6所示：

圖6 dmesg顯示結果
如上所示，通常它的內容會很多，所以我們往往使用如下命令以分頁的方式顯示引導信息，如圖7所示：
# dmesg | more
<img alt="dmesg" more命令顯示結果"="" src="http://up.2cto.com/2011/0819/20110819091103145.jpg" style="padding: 0px; margin: 0px auto; list-style: none; display: block; width: 482px; height: 365px;">
圖7 dmesg|more命令顯示結果
tail
tail命令設計用於顯示文本文件的最後幾行。使用-f開關，當日誌增加新的內容時，tail將繼續顯示新的輸出。如圖8所示：
# tar -f /var/log/messages

圖8 使用tail查看日誌
上面的命令將顯示/var/log/messages文件的最後6行，然後繼續監控那個文件，並輸出新的行為。要停止tail -f命令，使用[Ctrl + C]來中止進程。
more和less
more的工作方式與DOS版本相同。您可以將它指向一個文件，或者通過它以管道輸出信息，以分頁的方式來查看信息。例如，以分頁方式顯示maillog日誌文件的內容：
# more maillog

圖9 使用more查看日誌
然後，可以使用q或者[Ctrl+C]來停止查看文件。
less 是另一個文本閱讀器，不過它還允許在文件中滾動瀏覽以及檢索信息。如下所示：
# less /var/log/cron-20090830

圖9 使用less命令查看日誌
上面的命令將顯示/var/log/yum.log文件的內容，可以使用q來停止查看文件。
其他方式
Linux中的日誌文件對於系統的故障診斷和維護來說至關重要。許多諸如WWW、FTP、SMTP等網路應用服務的Linux日誌記錄都是記錄到專門指定的文本文件中(比如access.log，error.log等等)，所以不需要專門的工具來查看這些文件。用戶可以選擇Vi、gEdit等簡單的文本編輯工具查看使用。

④ 如何查看linux重啟/登錄/操作日誌的方法

1、linux下登錄日誌記錄在：/var/log目錄里的 secure文件。
查看ssh用戶的登錄日誌命令：cd /var/log && more secure

上圖中可以看到，用戶在11:05:57和12:24:33進行了兩次登錄。
2、使用last命令，可以列出目前與過去登錄系統的用戶相關信息。這是一個功能很強大的命令。
語法：last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]
例子：last -x ：顯示系統關閉、用戶登錄和退出的歷史
last -i：顯示特定ip登錄的情況
last -t 20150303120101： 顯示20150303120101之前的登錄信息

⑤ Linux裡面如何查看系統用戶登錄日誌

一、查看日誌文件
Linux查看/var/log/wtmp文件查看可疑IP登陸

last -f /var/log/wtmp

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數

二、 腳本生成所有登錄用戶的操作歷史
在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一台伺服器多人登陸，一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄（命令：history）是沒有什麼意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什麼辦法實現通過記錄登陸後的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。

通過在/etc/profile裡面加入以下代碼就可以實現：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

⑥ linux下怎麼查看ssh的用戶登錄日誌

linux的ssh登錄日誌存放在/var/log/secure中，你可以通過如下命令查看：
1less /var/log/secure

⑦ linux如何查看日誌

linux如何查看日誌？我們一起來了解一下吧。
1、打開linux系統，在linux的桌面的空白處右擊。

2、在彈出的下拉選項里，點擊打開終端。

3、使用catfilename命令，並回車運行即可顯示全部日誌內容。
本文章基於ThinkpadE15品牌、centos7系統撰寫的。

⑧ Linux系統日誌怎麼查看

1. 前言

在Linux日常管理中，我們肯定有查看某些服務的日誌需求，或者是系統本身的日誌。本文主要介紹如何查看Linux的系統日誌，包括文件的路徑、工具的使用等等。會看Linux日誌是非常重要的，不僅在日常操作中可以迅速排錯，也可以快速的定位。

2. 如何查看Linux日誌

Linux日誌文件的路徑一般位於,/var/log/，比如ngix的日誌路徑為/var/log/nginx/，如果要查看某服務的日誌，還可以使用systemctl status xxx，比如查看ssh服務的壯態，systemctl status sshd

查看Linux某服務的日誌

Liunx的配置文件在/etc/rsyslog.d里，可以看到如下信息

在linux系統當中，有三個主要的日誌子系統：

1、連接時間日誌：由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，

login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。

2、進程統計：由系統內核執行，當一個進程終止時，為每個進程往進程統計文件中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計

3、錯誤日誌：由rsyslogd守護程序執行，各種系統守護進程、用戶程序和內核通過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序創建日誌，像HTTP和FTP這樣提供的伺服器也保持詳細的日誌。

4、其他日誌……

查看Linux日誌默認路徑

可以看到在/var/log目錄下存在很多的日誌文件，接下來就對裡面的一些常用日誌文件進行分析

主要日誌文件介紹：

內核及公共消息日誌:/var/log/messages

計劃任務日誌：/var/log/cron

系統引導日誌：/var/log/dmesg

郵件系統日誌:/var/log/maillog

用戶登錄日誌：/var/log/lastlog

/var/log/boot.log（記錄系統在引導過程中發生的時間）

/var/log/secure (用戶驗證相關的安全性事件)

/var/log/wtmp(當前登錄用戶詳細信息)

/var/log/btmp（記錄失敗的的記錄）

/var/run/utmp（用戶登錄、注銷及系統開、關等事件）

日誌文件詳細介紹：

/var/log/secure

Linux系統安全日誌，記錄用戶和工作組的情況、用戶登陸認證情況

例子：我創建了一個zcwyou的用戶，然後改變了該用戶的密碼，於是該信息就被記錄到該日誌下

Linux系統安全日誌默認路徑

該日誌就詳細的記錄了我操作的過程。

內核及公共信息日誌，是許多進程日誌文件的匯總，從該文件中可以看出系統任何變化

查看Linux內核及公共信息日誌

系統引導日誌

該日誌使用dmesg命令快速查看最後一次系統引導的引導日誌

查看Linux系統系統引導日誌

最近的用戶登錄事件，一般記錄最後一次的登錄事件

該日誌不能用諸如cat、tail等查看，因為該日誌裡面是二進制文件，可以用lastlog命令查看，它根據UID排序顯示登錄名、埠號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示 Never logged。

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。該日誌為二進制文件，不能用諸如tail/cat/等命令，使用last命令查看。

記錄郵件的收發

此文件是記錄錯誤登錄的日誌，可以記錄有人使用暴力破解ssh服務的日誌。該文件用lastb打開

該日誌記錄當前用戶登錄的情況，不會永久保存記錄。可以用who/w命令來查看

3. 常用的日誌分析工具與使用方法

3.1 統計一個文本中包含字元個數

3.2 查看當天訪問排行前10的url

3.3 查看apache的進程數

3.4 訪問量前10的IP

cut部分表示取第1列即IP列，取第4列則為URL的訪問量

3.5 查看最耗時的頁面

按第2列響應時間逆序排序

3.6 使用grep查找文件中指定字元出現的次數

-o 指示grep顯示所有匹配的地方，並且每一個匹配單獨一行輸出。這樣只要統計輸出的行數就可以知道這個字元出現的次數了。

4. 總結

查看Linux日誌需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日誌和使用 Rsyslog 和 AWK 過濾等等，只要能掌握這些工具。我們才能高效地處理和定位故障點。

https://www.linuxrumen.com/rmxx/647.html