有时候进行安全检查就需要查看它是否被重启过,运行是否稳定,有什么人登录过,还有都做过哪些操作,都是可查而且使用的,这个时候就需要比较实用的last命令和history命令。虽然记录是可以被清除的^_^。
查看重启日志last reboot命令
[root@localhost ~]# last reboot
reboot system boot 2.6.18-194.el5PA Mon Mar 19 14:12 (112+19:37) 括号内容为从使用系统到现在的时间 112为天数
reboot system boot 2.6.18-194.el5PA Sun Nov 27 19:40 (112+18:29)
reboot system boot 2.6.18-194.el5PA Tue Nov 15 15:17 (12+04:19)
reboot system boot 2.6.18-194.el5PA Mon Oct 17 22:35 (40+21:02)
reboot system boot 2.6.18-194.el5PA Mon Oct 17 17:12 (02:53)
reboot system boot 2.6.18-194.el5PA Sat Oct 15 00:54 (00:36)
reboot system boot 2.6.18-194.el5PA Fri Oct 14 21:38 (03:12)
reboot system boot 2.6.18-194.el5PA Fri Oct 14 17:20 (03:16)
reboot system boot 2.6.18-194.el5PA Fri Oct 14 02:00 (00:01)
wtmp begins Fri Oct 14 02:00:21 2011 //这里提示系统从什么时候开始使用 2011年10月14开始启用。
查看登录日志last命令
[root@localhost ~]# last -x
root pts/1 113.89.183.* Tue Jul 10 09:27 still logged in
root pts/1 14.153.61.* Mon Jul 9 10:18 – 10:20 (00:02)
root pts/1 119.139.70.* Mon Jul 9 07:24 – 07:26 (00:02)
查看操作日志history命令:
一般操作日志查看都会比较长,所以需要加more来查看
[root@localhost ~]# history |more
17 top
18 exit
19 cd /etc/sysconfig/network-scripts/
20 cat mifcfg-eth0
21 cat ifcfg-eth0
附件:
linux last 命令详解
功能说明:列出目前与过去登入系统的用户相关信息。
语 法:last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称…][终端机编号…]
补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
参 数:
-a 把从何处登入系统的主机名称或IP地址,显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息
