journalctl -xe来查看服务启动日志,但是这个日志打印不全,所以还是需要通过/var/log/messages这个文件来看。
在一些新的ubuntu系统中,这个文件是不存在的,我们需要设置,修改文件/etc/rsyslog.d/50-default.conf
因为被注释掉了,我们根据需要开启,或者新增一行配置即可:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
systemctl restart rsyslog.service
查看linux何时关机的方法:
1 last -f /var/log/wtmp shutdown2
2 last -x shutdown | head -1
3 utmpdump /var/log/wtmp|grep shutdown
4
Linux用户登录信息放在三个文件中:
1 /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间;
2 /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;
3 /var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。
lastb显示上次登录用户的列表
只不过它默认读取的是/var/log/btmp文件的信息。
也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp
last
列出当前和曾经登入系统的用户信息,它默认读取的是/var/log/wtmp文件的信息。输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。
uptime
(py13) gchen@ky21:~/zhaolian/c_server/agent$ uptime
16:20:24 up 2:11, 1 user, load average: 0.65, 0.62, 0.58
(py13) gchen@ky21:~/zhaolian/c_server/agent$ uptime -p
up 2 hours, 11 minutes
(py13) gchen@ky21:~/zhaolian/c_server/agent$ uptime -s
2025-12-18 14:08:59
who
查看当前登入系统的用户信息。其中who -m等效于who am i
默认没有指定FILE参数时,who查询的是utmp的内容。当然可以指定FILE参数,比如who -aH /var/log/wtmp,则此时查看的是wtmp文件。
w
查看当前登入系统的用户信息及用户当前的进程(而who命令只能看用户不能看进程)。
w的信息来自两个文件:用户登录信息来自/var/run/utmp,进程信息来自/proc/.
users
显示当前正在登入统的用户名。
utmpdump
utmpdump用于转储二进制日志文件到文本格式的文件以便查看,同时也可以修改二进制文件!!包括/var/run/utmp、/var/log/wtmp、/var/log/btmp。语法为:utmpdump [options] [filename]。修改文件实际就可以抹除系统记录,所以一定要设置好权限,防止非法入侵。
utmpdump /var/log/utmp > tmp_output.txt
#导出文件信息
#<使用文本编辑器修改 tmp_output.txt>
utmpdump -r tmp_output.txt > /var/log/utmp
#导入到源文件中