我想查看linux下的用戶登錄日志，包括用戶登錄時(shí)所用的主機(jī)的ip，在哪里可以查看。

1、連接上相應(yīng)的linux主機(jī)，進(jìn)入到等待輸入shell指令的linux命令行狀態(tài)下。

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供郊區(qū)企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作、成都網(wǎng)站制作、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為郊區(qū)眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

2、在linux命令行下輸入shell指令：last -f /var/log/wtmp。

3、最后，按下回車鍵執(zhí)行shell指令，此時(shí)會(huì)查詢到用戶登陸的日志。

Linux里面如何查看系統(tǒng)用戶登錄日志？

一、查看日志文件

Linux查看/var/log/wtmp文件查看可疑IP登陸

last -f /var/log/wtmp

該日志文件永久記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時(shí)間的增加，該文件的大小也會(huì)越來越大，

增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個(gè)文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據(jù)用戶、終端tty或時(shí)間顯示相應(yīng)的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數(shù)

二、 腳本生成所有登錄用戶的操作歷史

在linux系統(tǒng)的環(huán)境下，不管是root用戶還是其它的用戶只有登陸系統(tǒng)后用進(jìn)入操作我們都可以通過命令history來查看歷史記錄，可是假如一臺(tái)服務(wù)器多人登陸，一天因?yàn)槟橙苏`操作了刪除了重要的數(shù)據(jù)。這時(shí)候通過查看歷史記錄（命令：history）是沒有什么意義了（因?yàn)閔istory只針對(duì)登錄用戶下執(zhí)行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什么辦法實(shí)現(xiàn)通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。

通過在/etc/profile里面加入以下代碼就可以實(shí)現(xiàn)：

PS1="`whoami`@`hostname`:"'[$PWD]'

USER_IP=`who -u am i 2/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod 777 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H:%M:%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"

chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2/dev/null

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統(tǒng)的/tmp新建個(gè)dbasky目錄，記錄所有登陸過系統(tǒng)的用戶和IP地址（文件名），每當(dāng)用戶登錄/退出會(huì)創(chuàng)建相應(yīng)的文件，該文件保存這段用戶登錄時(shí)期內(nèi)操作歷史，可以用這個(gè)方法來監(jiān)測(cè)系統(tǒng)的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

Linux查看日志的實(shí)用方法

??作為一名測(cè)試工程師，測(cè)試任務(wù)中和Linux打交道的地方有很多，比如查看日志、定位bug、修改文件、部署環(huán)境等。產(chǎn)品部署在Linux上，如果某個(gè)功能發(fā)生錯(cuò)誤，就需要我們?nèi)ヅ挪槌鲥e(cuò)的原因，所以熟練的掌握查看log的方法顯得尤為重要。

??談到查看log的方法，最常使用的命令可以說是cat與more及l(fā)ess了，但是如果查看一個(gè)很大的文件，并且只想看到該文件最后幾行的結(jié)果輸出時(shí)，你還記得用什么嗎？對(duì)了，就是tail，此外tac也可以達(dá)到這個(gè)目的。接下來文章將通過實(shí)例來講解各個(gè)查看日志的命令。

想要直接查看一個(gè)文件的內(nèi)容，可以使用cat/tac/nl命令行。

??在一般情況下，使用[tab]與空格鍵的效果差不多，都是一堆空白，無法區(qū)分出兩者，但是如果使用cat -A 就能夠發(fā)現(xiàn)空白的地方到底是什么，其中[tab]是以^I表示，換行符則是以$表示。當(dāng)文件內(nèi)容的行數(shù)超過40行以上時(shí)，根本來不及在屏幕上看到結(jié)果。所以cat配合less或者more是不錯(cuò)的選擇。

??nl可以將輸出的文件內(nèi)容自動(dòng)地加上行號(hào)，其默認(rèn)的結(jié)果與cat -n不太一樣，nl可以將行號(hào)做比較多的顯示設(shè)計(jì)，包括位數(shù)與是否自動(dòng)補(bǔ)齊0等的功能。

??想要一頁一頁的查看文件的內(nèi)容，可以使用more和less命令。

??對(duì)比less和more，less的用法更加的靈活，more的缺點(diǎn)是沒有辦法向前翻頁，只能往后翻，但是less既能往后翻也能往前翻頁。

??如果只想關(guān)注日志內(nèi)容的前一段或者最后一段的內(nèi)容，使用head/tail。

??幾種查看log的方式總結(jié)的也差不多了，想要熟練的使用還需要多練。