Linux用户登录日志：细节研究（linux用户登陆日志）

Linux是一款广受喜爱的操作系统，由开源社区发布，支持用户自定义配置和应用程序，用户在安全方面更有保障。不同于Windows，Linux下没有特定的用户登录日志。此时，我们可以使用Linux提供的一种技术——记录用户登录过程＄＄（1），这种技术可以记录每个用户登录和注销的时间、IP地址等信息，并加以分析和处理，保证系统安全性。

用户登录信息，一般保存于/var/log/wtmp和/var/log/btmp，其中/var/log/btmp是用户注销的信息，/var/log/wtmp为登录信息，通常为两个文件，因为其一次只能够存储400字节的信息，所以再登陆人数多时会自动清除第一个文件，把所有信息保存在第二个文件。我们可以使用命令wtmp和last commond来查看这些日志信息

wtmp命令显示的是用户的登录/注销的注册表

$ last //查看用户的登录/注销记录

last从/var/log/wtmp和/var/log/btmp日志文件读取和解析用户的登录/注销信息，以整理出显示的报表。用户可以使用不同的选项来查看不同的日志，例如：

$ last -f /var/log/auth.log //查看特定日志文件里的记录

此外，Linux还提供了日志监控工具，可以通过脚本获取并管理系统日志文件，并实现有效的审计功能，例如加入以下sh下面的脚本，来追踪系统的登录/注册表：

#!/bin/sh
logfile=/var/log/login.log

#定义一个函数，查找文件中指定字符串
function find_str {
    cat $1 | while read line ; 
    do 
        str=`echo $line | grep "$2" `
        if [ "$str" != "" ] ;
        then
            echo $line
        fi
    done
} 
 # 查找文件登录失败信息
 content=`find_str $logfile "login failed"`
 # 如果登录失败，发送邮件
 if [ "$content" != "" ] ;
 then
      echo $content | mail -s "login failed" root
 fi

总而言之，Linux用户登录日志不仅能够帮助用户查看登录情况，还能够有效避免恶意用户的攻击，同时，系统管理员也可以采用日志监控来实现审计管理，保障系统安全，可靠的工作环境。