一、Linux 常见的登录档档名

登录档可以帮助我们瞭解很多系统重要的事件，包括登入者的部分资讯，因此登录档的权限通常是设定为仅有 root 能够读取而已。 而由于登录档可以记载系统这麽多的详细资讯，所以啦，一个有经验的主机管理员会随时随地查阅一下自己的登录档， 以随时掌握系统的最新脉动！那麽常见的几个登录档有哪些呢？一般而言，有下面几个：

•/var/log/cron：

还记得第十六章例行性工作排程吧？你的 crontab 排程有没有实际被进行？ 进行过程有没有发生错误？你的 /etc/crontab 是否撰写正确？在这个登录档内查询看看。

•/var/log/dmesg：

记录系统在开机的时候核心侦测过程所产生的各项资讯。由于 CentOS 预设将开机时核心的硬体侦测过程取消显示， 因此额外将资料记录一份在这个档桉中；

•/var/log/lastlog：

可以记录系统上面所有的帐号最近一次登入系统时的相关资讯。第十四章讲到的 lastlog 指令就是利用这个档桉的记录资讯来显示的。

•/var/log/maillog 或 /var/log/mail/*：

记录邮件的往来资讯，其实主要是记录 sendmail (SMTP 协定提供者) 与 dovecot (POP3 协定提供者) 所产生的讯息啦。 SMTP 是发信所使用的通讯协定， POP3 则是收信使用的通讯协定。 sendmail 与 dovecot 则分别是两套达成通讯协定的软体。

•/var/log/messages：

这个档桉相当的重要，几乎系统发生的错误讯息 (或者是重要的资讯) 都会记录在这个档桉中； 如果系统发生莫名的错误时，这个档桉是一定要查阅的登录档之一。

•/var/log/secure：

基本上，只要牵涉到『需要输入帐号密码』的软体，那麽当登入时 (不管登入正确或错误) 都会被记录在此档桉中。 包括系统的 login 程式、图形介面登入所使用的 gdm 程式、 su, sudo 等程式、还有网路连线的 ssh, telnet 等程式， 登入资讯都会被记载在这裡；

•/var/log/wtmp, /var/log/faillog：

这两个档桉可以记录正确登入系统者的帐号资讯 (wtmp) 与错误登入时所使用的帐号资讯 (faillog) ！ 我们在第十一章谈到的 last 就是读取 wtmp 来显示的， 这对于追踪一般帐号者的使用行为很有帮助！

•/var/log/httpd/*, /var/log/news/*, /var/log/samba/*：

不同的网路服务会使用它们自己的登录档桉来记载它们自己产生的各项讯息！上述的目录内则是个别服务所制订的登录档。

二、查看方法

如果执行more /var/log/wtmp后命令行会乱码。正确的做法是：

last 或last -f  /var/log/wtmp

last, lastb - 显示最近登录的用户列表

总览

last [-R] [-num] [ -n num ] [-adiox] [ -f file ] [name...]  [tty...]

lastb [-R] [-num] [ -n num ] [ -f file ] [-adiox] [name...]  [tty...]

描述

Last  向后检索 /var/log/wtmp 文件(也可以用 -f 选项指定被检索的文件)，并

显示自这个文件创建以来所有登录(退出)系统的用户列表。在指定了用户名 和

终端名的情况下，last 只显示符合这些参数的记录。终端的名字可以简写，因此

last 0 等同于 last tty0.

当 last 捕捉到了SIGINT 信号 (产生于中断键,通常是 control-C)或 SIGQUIT

信号(产生于退出键，通常是 control-\)时, last 会显示它对文件已经检索了

多少；在 SIGINT 信号的情况下 last 将终止运行。

每次系统重新启动时，虚用户 reboot 都会被记录到日志中。所 以last  reboot

会 列出自日志文件创建以来的所有重新启动的日志记录。.PP Lastb 缺省上列出

/var/log/btmp 文件中的日志记录，这个文件包含有所有不良的登录企图。除 此

之外，等同于 last。

选项

-num指定 last 要显示多少行。

"-n num"等同 -num.

-R不显示主机名列。

-a在最后一列显示主机名. 和下一个选项合用时很有用

-d 对 于非本地的登录，Linux 不仅保存远程主机名而且保存IP地址(IP

number)。这个选项可以将IP地址(IP number)转换为主机名。

-i这个选项类似于显示远程主机 IP 地址(IP number)的 -d 选项， 只

不过它用数字和点符号显示IP数

-o读取一个旧格式的 wtmp 文件 (用linux-libc5应用程序写入的).

-x显示系统关机记录和运行级别改变的日志。

注意

wtmp 和 btmp 等文件也许找不到。只有这些文件存在时，系统才记录日志信息。

这是一个本地配置的问题。 要想这些文件起作用，你可以用一条简 单 的 命 令  touch(1) 创建它们(如, touch /var/log/wtmp).