作者介绍:简历上没有一个精通的运维工程师。希望大家多多关注作者,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。
Linux 系统中的日志是记录系统活动和事件的重要工具,它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志,登录日志,定时任务日志,监控日志,崩溃日志,二进制日志等内容,这些日志都存储在/var/log目录下,有的日志文本格式,可以直接使用前面学到的tail cat 等命令分析,有的日志是二进制格式需要专门的命令才能解释,比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。
1.Linux日志-message日志
2.Linux日志-secure日志
3.Linux日志-btmp日志
4.Linux日志-wtmp日志
5.Linux日志-lastlog日志(本章节)
6.Linux日志-cron日志
7.Linux日志-sar日志
8.Linux日志-journal日志
9.Linux日志-dmesg日志
10.Linux日志-kdump日志
11.Linux日志-日志小结
上一小节,我们讲Linux的wtmp日志,下面我们接着讲Linux的其他日志内容。
在Linux系统中,lastlog日志是系统日志的一部分,主要用于记录每个用户最后一次登录时间的日志文件。
- 跟踪用户登录情况:
-
它记录了每个系统用户最后一次成功登录系统的时间。这对于管理员了解用户对系统的使用频率和最近的活动情况非常有帮助。例如,如果某个用户长时间没有登录,管理员可以检查该用户是否仍然需要该账户,或者是否存在账户闲置浪费系统资源的情况。
-
通过对比不同时间点的 lastlog 记录,可以发现用户登录行为的变化。比如某个用户原本每周都会登录,突然连续几周没有登录记录,可能意味着该用户的工作职责或使用需求发生了改变。
- 安全监测:
-
在安全方面,lastlog 日志可以作为一种监测手段。如果发现某个用户的最后登录时间与预期不符,比如用户声称自己没有登录过,但 lastlog 显示有近期的登录记录,这可能表明该用户账户存在安全风险,可能被他人盗用。
-
对于新创建的用户,lastlog 初始时是没有记录的。当该用户首次登录后,lastlog 会记录下登录时间。这样管理员可以通过查看 lastlog 来确定新用户是否已经开始正常使用系统,以及是否存在异常的首次登录情况(如在不应该的时间或地点登录)
日志基本信息
-
日志路径:/var/log/lastlog
-
日志格式: 二进制格式
-
查看方法:使用专用命令lastlog
[root@iZ2vci40gfjzarlead7vliZ log]# lastlog Username Port From Latest root pts/0 182.151.182.92 Wed Aug 7 23:14:19 +0800 2024 bin Never logged in daemon Never logged in tcpdump Never logged in nginx pts/0 Tue Jul 2 16:47:04 +0800 2024 dockerroot Never logged in postgres pts/1 Wed Jun 5 11:28:29 +0800 2024 redis Never logged in ntp pts/0 Wed Jun 19 20:20:02 +0800 2024 user01 pts/0 Thu Jul 25 22:19:29 +0800 2024
总结
1.他会统计linux所有的用户(/etc/passwd)里面的所有用户,无论他们是否有登录权限
2.有些服务,比如nginx,默认是不允许交互登录的,如果你尝试使用了su命令去切换登录,这里也会记录你登录。
3.btmp,wtmp,lastlog这3个命令都是二进制格式,都是记录Linux登录相关的日志。
关注微信公众号《运维小路》获取更多内容。
