Centos 用户登录记录与系统日志梳理

日志控制配置--日志简介

日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

在Linux系统中，有三个主要的日志子系统：
- 连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。
- 进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
- 错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
- utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp. 7。
- 每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。
- 下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。

具体命令

wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。

who

• who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。
• 如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。

w

• w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27

  users

• users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo

  lastb

• 列出登入系统失败的用户相关信息。

语法：
lastb [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]
补充说明：
单独执行lastb指令，它会读取位于/var/log目录下，名称为btmp的文件，并把该文件内容记录的登入失败的用户名单，全部显示出来。
参数：
-a 　把从何处登入系统的主机名称或IP地址显示在最后一行。
-d 　将IP地址转换成主机名称。
-f   <记录文件> 指定记录文件。
-n   <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 　不显示登入系统的主机名称或IP地址。
-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

last

• last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如： 功能说明：列出目前与过去登入系统的用户相关信息。

功能说明：列出目前与过去登入系统的用户相关信息。
语法：last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]
补充说明：单独执行last指令，它会读取位于/var/log目录下，名称为wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来。
参数：
-a 　把从何处登入系统的主机名称或IP地址，显示在最后一行。
-d 　将IP地址转换成主机名称。
-f   <记录文件> 指定记录文件。
-n   <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 　不显示登入系统的主机名称或IP地址。
-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

#last用了显示用户登录情况。
last root
#以下是直接显示固定行数的记录。
last -6
#默认是显示wtmp的记录，btmp能显示的更详细，可以显示远程登录，例如ssh登录。
last -n 15 -f /var/log/btmp
#显示特定tty口的登录，1是tty1的登录情况，看的很清楚的。没有登录成功，但是也有记录。
last -n 15 -f /var/log/btmp 1
#显示特定用户的登录情况。
last -n 15 -f /var/log/btmp root
#显示登录登出的记录，-x。
last -n 15 -f /var/log/btmp root -x
#-i显示特定ip登录的情况。跟踪用。
last -n 15 -i 127.0.0.1 -f /var/log/btmp root
其他参数没有特别说明，自行参考man。
#dump-utmp这个工具将原始的数据转换为ASCII的数据
#dump-utmp /var/log/wtmp
md5-f7b7cb7e8517c1fe24ca2196dbc6e644
#ac -d 显示每天的总的连结时间
Aug 12 total 261.87 
Aug 13 total 351.39
Aug 14 total 396.09 
Aug 15 total 462.63 
Aug 16 total 270.45 
Aug 17 total 104.29 
Today total 179.02 
#ac -p 显示每个用户的总的连接时间 
ynguo 193.23
yucao 3.35 
rong 133.40
hdai 10.52 
zjzhu 52.87 
zqzhou 13.14 
liangliu 24.34 
total 5178.24
md5-dbbe10e924362f1b437416578aac475d
rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000 
dbb　　**Never logged in** 
sinchen　　**Never logged in** 
pb9511　　**Never logged in** 
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
另外，可一加一些参数，例如，last -u
102将报告UID为102的用户；last -t
7表示限制上一周的报告。
md5-c2bb31cc934b28c094aade8e527e7d77
ping S root ?? 0.00 secs Sun Aug 20 00:15 
ping6.pl F root ?? 0.01 secs
Sun Aug 20 00:15 
sh root ?? 0.01 secs Sun Aug 20 00:15 
ping S root ??
0.01 secs Sun Aug 20 00:15 
sh root ?? 0.02 secs Sun Aug 20 00:15 
ping S
root ?? 1.34 secs Sun Aug 20 00:15 
locate root ttyp0 1.34 secs Sun Aug 20
00:15 
accton S root ttyp0 0.00 secs Sun Aug 20
00:15
md5-8a350ee5df89ef445a76def81a853202
sa的输出有下面一些标记项：
avio--每次执行的平均I/O操作次数
cp--用户和系统时间总和，以分钟计 
cpu--和cp一样 
k--内核使用的平均CPU时间，以1k为单位
k*sec--CPU存储完整性，以1k-core秒 re--实时时间，以分钟计 
s--系统时间，以分钟计 
tio--I/O操作的总数
u--用户时间，以分钟计
用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m
md5-cc4755e810ae3dfd39fab9688fcbcfac
1. who命令：有关当前登录用户的信息记录在文件utmp中
2. w命令：登录进入和退出纪录在文件wtmp中
3. lastlog命令：用户最后一次登录时间
4. messages：从syslog中记录信息
md5-505d9108b7b8843eaf342fc80e9b8045
struct utmp { 
char ut_line[8]; /* tty
line: "ttyh0", "ttyd0", "ttyp0", ... */ 
char ut_name[8]; /* login name */
long ut_time; /* seconds since Epoch */ 
};
md5-944d12fbcf45b9d15ca2ccc3050885a7
grep halt messages
grep reboot messages
grep shutdown messages
last
last | grep
reboot
last | grep shutdown
vim /etc/logrotate.conf