作者介绍:我的简历上并没有一个精通的运维工程师的标签。请点击上方的蓝色《运维小路》关注我,以下是思维导图中预计更新的内容和当前进度(不定时更新)。
在Linux系统中,日志是记录系统活动和事件的重要工具,它们能够帮助管理员监控系统状态、调查问题并了解系统运行情况。主要涉及系统日志、登录日志、定时任务日志、监控日志、崩溃日志、二进制日志等,这些日志都存储在/var/log目录下。有些日志是文本格式,可以直接使用之前学过的tail、cat等命令进行分析;而有些是二进制格式,需要使用专门的命令如sa、journal等来解释。我们将从以下几个方面介绍Linux的日志情况:
Linux日志-message日志
Linux日志-secure日志
Linux日志-btmp日志
Linux日志-wtmp日志
Linux日志-lastlog日志(本章节)
Linux日志-cron日志
Linux日志-sar日志
Linux日志-journal日志
Linux日志-dmesg日志
Linux日志-kdump日志
Linux日志-日志小结
在上一小节中,我们讨论了Linux的wtmp日志,接下来将继续探讨Linux的其他日志内容。
在Linux系统中,lastlog日志是系统日志的一部分,主要用于记录每个用户最后一次登录时间的日志文件。
跟踪用户登录情况:它记录了每个系统用户最后一次成功登录系统的时间。这对于管理员了解用户对系统的使用频率和最近的活动情况非常有帮助。例如,如果某个用户长时间没有登录,管理员可以检查该用户是否仍然需要该账户,或者是否存在账户闲置浪费系统资源的情况。通过对比不同时间点的lastlog记录,可以发现用户登录行为的变化。比如某个用户原本每周都会登录,突然连续几周没有登录记录,可能意味着该用户的工作职责或使用需求发生了改变。
安全监测:在安全方面,lastlog日志可以作为一种监测手段。如果发现某个用户的最后登录时间与预期不符,比如用户声称自己没有登录过,但lastlog显示有近期的登录记录,这可能表明该用户账户存在安全风险,可能被他人盗用。对于新创建的用户,lastlog初始时是没有记录的。当该用户首次登录后,lastlog会记录下登录时间。这样管理员可以通过查看lastlog来确定新用户是否已经开始正常使用系统,以及是否存在异常的首次登录情况(如在不应该的时间或地点登录)。
日志基本信息:
- 日志路径:/var/log/lastlog
- 日志格式:二进制格式
- 查看方法:使用专用命令lastlog
[root@iZ2vci40gfjzarlead7vliZ log]# lastlog Username Port From Latest root pts/0 182.151.182.92 Wed Aug 7 23:14:19 +0800 2024 bin **Never logged in** daemon **Never logged in** tcpdump **Never logged in** nginx pts/0 Tue Jul 2 16:47:04 +0800 2024 dockerroot **Never logged in** postgres pts/1 Wed Jun 5 11:28:29 +0800 2024 redis **Never logged in** ntp pts/0 Wed Jun 19 20:20:02 +0800 2024 user01 pts/0 Thu Jul 25 22:19:29 +0800 2024
总结:
它会统计Linux系统中/etc/passwd文件中所有的用户,无论他们是否有登录权限。
有些服务,比如nginx,默认是不允许交互登录的,如果你尝试使用了su命令去切换登录,这里也会记录你的登录。
3. btmp、wtmp、lastlog这三个日志文件都是二进制格式,都记录了与Linux登录相关的日志。
