linux日志管理(二)

2024-07-21 02:34:52

字體：大中小

來源：轉載

供稿：網友

　　　假如指明了用戶，那么last只報告該用戶的近期活動，例如：last ynguo（回車）顯示：
　　ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
　　ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
　　ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
　　ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
　　ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
　　ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
　　ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)
　　ac：ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結的時間（小時），假如不使用標志，則報告總的時間。例如：ac（回車）顯示：total 5177.47
　　ac -d（回車）顯示天天的總的連結時間
　　Aug 12 total 261.87
　　Aug 13 total 351.39
　　Aug 14 total 396.09
　　Aug 15 total 462.63
　　Aug 16 total 270.45
　　Aug 17 total 104.29
　　Today total 179.02
　　ac -p （回車）顯示每個用戶的總的連接時間
　　ynguo 193.23
　　yUCao 3.35
　　rong 133.40
　　hdai 10.52
　　zjzhu 52.87
　　zqzhou 13.14
　　liangliu 24.34
　　total 5178.24
　　lastlog：lastlog文件在每次有用戶登錄時被查詢?？梢允褂胠astlog命令來檢查某特定用戶上次登錄的時間，并格式化輸出上次登錄日志/var/log/lastlog的內容。它根據UID排序顯示登錄名、端口號（tty）和上次登錄時間。假如一個用戶從未登錄過，lastlog顯示"**Never logged**。注重需要以root運行該命令，例如：
　　rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
　　dbb　　**Never logged in**
　　sinchen　　**Never logged in**
　　pb9511　　**Never logged in**
　　xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000
　　另外，可一加一些參數，例如，last -u 102將報告UID為102的用戶；last -t 7表示限制上一周的報告。
　　3. 進程統計
　　UNIX可以跟蹤每個用戶運行的每條命令，假如想知道昨晚弄亂了哪些重要的文件，進程統計子系統可以告訴你。它對還跟蹤一個侵入者有幫助。與連接時間日志不同，進程統計子系統缺省不激活，它必須啟動。在linux系統中啟動進程統計使用accton命令，必須用root身份來運行。Accton命令的形式accton file，file必須先存在。先使用touch命令來創建pacct文件：touch /var/log/pacct，然后運行accton： accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何參數的accton命令。
　　lastcomm命令報告以前執行的文件。不帶參數時，lastcomm命令顯示當前統計文件生命周期內紀錄的所有命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。假如系統有許多用戶，輸入則可能很長。下面的例子：
　　　 linux日志治理(二)（圖一）

　　ping S root ?? 0.00 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.02 secs Sun Aug 20 00:15
　　ping S root ?? 1.34 secs Sun Aug 20 00:15
　　locate root ttyp0 1.34 secs Sun Aug 20 00:15
　　accton S root ttyp0 0.00 secs Sun Aug 20 00:15
　　進程統計的一個問題是pacct文件可能增長的十分迅速。這時需要交互式的或經過cron機制運行sa命令來保持日志數據在系統控制內。sa命令報告、清理并維護進程統計文件。
它能把/var/log/pacct中的信息壓縮到摘要文件/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統統計數據。sa缺省情況下先讀它們，然后讀pacct文件，使報告能包含所有的可用信息。sa的輸出有下面一些標記項：
　　avio--每次執行的平均I/O操作次數
　　cp--用戶和系統時間總和，以分鐘計
　　cpu--和cp一樣
　　k--內核使用的平均CPU時間，以1k為單位 k*sec--CPU存儲完整性，以1k-core秒 re--實時時間，以分鐘計
　　s--系統時間，以分鐘計
　　tio--I/O操作的總數
　　u--用戶時間，以分鐘計例如：
　　　 linux日志治理(二)（圖二）