文档介绍：Linux系统日志查看
Linux系统日志查看
Linux系统中的日志子系统对于系统安全来说非常重要，它记录了系统每天发生的各种各样的事情，包括那些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到: last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现其中存在的问题，确定不法用户，并进行处理。运行该命令，如下所示:
[******@working]# last
devin pts/1 Mon Jul 21 15:08-down (8+17:46)
devin pts/1 Mon Jul 21 14:42 - 14:53 (00:11)
changyi pts/2 Mon Jul 21 14:12 - 14:12 (00:00)
devin pts/1 Mon Jul 21 12:51 - 14:40 (01:49)
reboot system boot Fri Jul 18 15:42 (11+17:13)
reboot system boot Fri Jul 18 15:34 (00:04)
reboot system boot Fri Jul 18 15:02 (00:36)
读者可以看到，使用上述命令显示的信息太多，区分度很小。所以，可以通过指明用户来显示其登录信息即可。例如: 使用last devin来显示devin的历史登录信息，则如下所示:
[******@working]# last devin
devin pts/1 Mon Jul 21 15:08 - down (8+17:46)
devin pts/1 Mon Jul 21 14:42 - 14:53 (00:11)
ac命令:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间（小时），如果不使用标志，则报告总的时间。另外，可以加一些参数，例如，last -t 7表示显示上一周的报告。
lastlog命令 lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示“**Never logged**”。注意需要以root身份运行该命令。运行该命令如下所示:
[******@working]# lastlog
Username Port From Latest
root pts/1 二 5月 10 10:13:26 +0800 2005
opal pts/1 二 5月 10 10:13:26 +0800 2005
2．使用Syslog设备
Syslog已被许多日志函数采纳，被用在许多保护措施中，任何程序都可以通过syslog 记录事件。Syslog可以记录系统事件，可以写到