手机推荐排行榜,女人书籍排行榜,完美世界前传下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

誰(shuí)刪除了Linux的wtmp日志文件？(linuxwtmp被刪除)

Linux是目前更流行的操作系統(tǒng)之一，因?yàn)樗姆€(wěn)定性和可靠性而備受歡迎。在Linux中有許多日志記錄功能，其中wtmp日志文件是一個(gè)重要的登錄記錄日志文件。它記錄了用戶登錄進(jìn)入系統(tǒng)的信息，以及退出系統(tǒng)的時(shí)間和方式。這個(gè)日志文件對(duì)于系統(tǒng)管理員來(lái)說(shuō)是非常重要的，因?yàn)樗梢蕴峁┯嘘P(guān)系統(tǒng)使用情況的重要數(shù)據(jù)。如果wtmp日志文件被刪除或損壞，管理員將無(wú)法查看系統(tǒng)使用情況的詳細(xì)信息，這可能會(huì)導(dǎo)致嚴(yán)重的后果。

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括紅寺堡網(wǎng)站建設(shè)、紅寺堡網(wǎng)站制作、紅寺堡網(wǎng)頁(yè)制作以及紅寺堡網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，紅寺堡網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到紅寺堡省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

最近有一個(gè)奇怪的事情發(fā)生了：Linux的wtmp日志文件被刪除或損壞。現(xiàn)在的問(wèn)題是：誰(shuí)刪除了它？這個(gè)問(wèn)題涉及到系統(tǒng)管理員和所有有權(quán)訪問(wèn)系統(tǒng)的用戶。因此，我們需要仔細(xì)調(diào)查，以確定是誰(shuí)刪除了該文件。

我們需要查看系統(tǒng)日志以確定刪除時(shí)間。Linux系統(tǒng)的日志文件通常位于/var/log/目錄下，我們可以使用命令 grep “wtmp” /var/log/messages 查找wtmp日志文件的相關(guān)信息。如果發(fā)現(xiàn) wtmp 文件被刪除的記錄，我們可以看到刪除時(shí)間，從而開(kāi)始我們的調(diào)查工作。

第二，我們需要查找哪些用戶有文件刪除的權(quán)限。在Linux系統(tǒng)中，只有具有sudo權(quán)限的用戶才能刪除重要的系統(tǒng)文件。因此，我們需要查看具有sudo權(quán)限的用戶列表，以確定哪些用戶有權(quán)刪除wtmp日志文件。我們可以通過(guò)運(yùn)行命令“sudo cat /etc/sudoers|grep ALL=(ALL) NOPASSWD: ALL”，來(lái)查看具有sudo權(quán)限的用戶列表。

第三，我們需要查找哪些用戶有被刪除wtmp文件的動(dòng)機(jī)。在某些情況下，可能會(huì)出現(xiàn)某些用戶故意刪除wtmp文件的情況。例如，一個(gè)內(nèi)部員工可能會(huì)利用這種漏洞，來(lái)刪除訪問(wèn)記錄以隱藏他們的行蹤。因此，我們需要調(diào)查所有有可能刪除wtmp文件的用戶，并了解他們是否有任何動(dòng)機(jī)或合法的理由來(lái)刪除文件。

我們需要通過(guò)系統(tǒng)日志或其他安全措施來(lái)保證阻止wtmp日志文件再次被刪除?？梢允褂孟拗朴脩粼L問(wèn)的安全策略來(lái)防止未經(jīng)授權(quán)的用戶刪除文件。此外，我們還可以使用文件監(jiān)視工具等來(lái)及時(shí)檢測(cè)并且通知管理員，哪個(gè)用戶正在嘗試刪除系統(tǒng)的重要日志文件。

結(jié)論

為了確定誰(shuí)刪除了 Linux 的wtmp日志文件，我們必須對(duì)系統(tǒng)的各個(gè)方面進(jìn)行調(diào)查。但是，只要有超級(jí)用戶權(quán)限，任何人都可以刪除該文件，這是很難和防止的。因此，確保系統(tǒng)安全和數(shù)據(jù)的完整性的更佳方法是部署多層次安全的策略，可以增強(qiáng)安全性并防止未經(jīng)授權(quán)的行為。

相關(guān)問(wèn)題拓展閱讀：

如何實(shí)時(shí)查看linux下的日志

如何實(shí)時(shí)查看linux下的日志

cat /var/log/*.log

如果日志在更新，如何實(shí)時(shí)查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次慎游。

該指令，不會(huì)直接返回命令行，而是實(shí)時(shí)打印日志文件中新增加的內(nèi)容，這一特性，對(duì)于查看日志是非常有效的。如果想終止輸出，按 Ctrl+C 即可。

在Linux系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：

　　連接時(shí)間日志–由多個(gè)程序執(zhí)行，把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。

　　進(jìn)程統(tǒng)計(jì)–由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

　　錯(cuò)誤日志–由syslogd（8）執(zhí)行。各種系薯孝穗統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog（3）向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

　　常用的日志文件如下：

　　access-log紀(jì)錄HTTP/web的傳輸

　　acct/pacct紀(jì)錄用戶命令

　　aculog紀(jì)錄MODEM的活動(dòng)

　　btmp紀(jì)數(shù)卜錄失敗的紀(jì)錄

　　lastlog　　紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄

　　messages　　　　從syslog中記錄信息（有的鏈接到syslog文件）系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志，是Red Hat Linux中最常用的日志之一

　　sudolog紀(jì)錄使用sudo發(fā)出的命令

　　sulog紀(jì)錄使用su命令的使用

　　syslog　　　　從syslog中記錄信息（通常鏈接到messages文件）

　　utmp紀(jì)錄當(dāng)前登錄的每個(gè)用戶

　　wtmp一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄

　　xferlog紀(jì)錄FTP會(huì)話

/var/log/secure與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

　　utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵–保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中；登錄進(jìn)入和退出紀(jì)錄在文件wtmp中；最后一次登錄文件可以用lastlog命令察看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。所有的紀(jì)錄都包含時(shí)間戳。這些文件（lastlog通常不大）在具有大量用戶的系統(tǒng)中增長(zhǎng)十分迅速。例如wtmp文件可以無(wú)限增長(zhǎng)，除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運(yùn)行的腳本來(lái)修改。這些腳本重新命名并循環(huán)使用wtmp文件。通常，wtmp在之一天結(jié)束后命名為wtmp.1；第二天后wtmp.1變?yōu)閣tmp.2等等，直到wtmp.7。

　　每次有一個(gè)用戶登錄時(shí)，login程序在文件lastlog中察看用戶的UID。如果找到了，則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中，然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫入后，utmp文件打開(kāi)并插入用戶的utmp紀(jì)錄。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令文件使用，包括who、w、users和finger。

　　下一步，login程序打開(kāi)文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí)，具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。

　　具體命令

　　wtmp和utmp文件都是二進(jìn)制文件，他們不能被諸如tail命令剪貼或合并（使用cat命令）。用戶需要使用who、w、users、last和ac來(lái)使用這兩個(gè)文件包含的信息。

　　who：who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)。例如：who（回車）顯示

　　chyang　　　　 pts/0 Aug:06

　　ynguo　　　　 pts/2 Aug:32

　　ynguo　　　　 pts/3 Aug:55

　　lewis　　　　 pts/4 Aug:35

　　ynguo　　　　 pts/7 Aug:12

　　ylou　　　　 pts/8 Aug:15

　　如果指明了wtmp文件名，則who命令查詢所有以前的紀(jì)錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來(lái)的每一次登錄。

　　w：w命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息。例如：w（回車）顯示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

　　USER　　 TTY　　　　FROM　　　　 LOGIN@ IDLE JCPU PCPU　　WHAT

　　chyang pts/0 202.38.68.242　　3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47　　 3:32pm 0.00s 0.14s 0.05　　 w

　　lewis pts/3 202.38.64.233　　1:55pm 30:39 0.27s 0.22s -bash

　　lewis pts/4 202.38.64.233　　1:35pm 6.00s 4.03s 0.01s sh /home/users/

　　ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

　　ylou　　pts/8 202.38.64.235　　2:15pm 1:09m 0.10s 0.04s　　-bash

　　users：users用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名將顯示相同的次數(shù)。例如：users（回車）顯示：chyang lewis lewis ylou ynguo ynguo

　last：last命令往回搜索wtmp來(lái)顯示自從文件之一次創(chuàng)建以來(lái)登錄過(guò)的用戶。例如：

　　chyang pts/9　　202.38.68.242 Tue Aug 1 08::23 (02:49)

　　cfan　　pts/6　　202.38.64.224 Tue Aug 1 08::48 (00:14)

　　chyang pts/4　　202.38.68.242 Tue Aug 1 08::13 (03:40)

　　lewis pts/3　　202.38.64.233 Tue Aug 1 08::09 (03:03)

　　lewis pts/2　　202.38.64.233 Tue Aug 1 07::09 (03:12)

　　如果指明了用戶，那么last只報(bào)告該用戶的近期活動(dòng)，例如：last ynguo（回車）顯示：

　　ynguo　　pts/4 simba.nic.ustc.e Fri Aug 4 16::20 (15:30)

　　ynguo　　pts/4 simba.nic.ustc.e Thu Aug 3 23::40 (04:44)

　　ynguo　　pts/11 simba.nic.ustc.e Thu Aug 3 20::02 (01:16)

　　ynguo　　pts/0 simba.nic.ustc.e Thu Aug 3 03::42 (02:25)

　　ynguo　　pts/0 simba.nic.ustc.e Wed Aug 2 01::16 1+02:12)

　　ynguo　　pts/0 simba.nic.ustc.e Wed Aug 2 00::54 (00:11)

　　ynguo　　pts/9 simba.nic.ustc.e Thu Aug 1 20::26 (00:55)

　　ac：ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來(lái)報(bào)告用戶連結(jié)的時(shí)間（小時(shí)），如果不使用標(biāo)志，則報(bào)告總的時(shí)間。例如：ac（回車）顯示：total 5177.47

　　ac -d（回車）顯示每天的總的連結(jié)時(shí)間

　　Aug 12 total 261.87

　　Aug 13 total 351.39

　　Aug 14 total 396.09

　　Aug 15 total 462.63

　　Aug 16 total 270.45

　　Aug 17 total 104.29

　　Today total 179.00

　　ac -p （回車）顯示每個(gè)用戶的總的連接時(shí)間

　　ynguo 193.23

　　yucao 3.35

　　rong 133.40

　　hdai 10.52

　　zjzhu 52.87

　　zqzhou 13.14

　　liangliu 24.34

　　total 5178.22

　　lastlog：lastlog文件在每次有用戶登錄時(shí)被查詢?？梢允褂胠astlog命令來(lái)檢查某特定用戶上次登錄的時(shí)間，并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(hào)（tty）和上次登錄時(shí)間。如果一個(gè)用戶從未登錄過(guò)，lastlog顯示”**Never logged**。注意需要以root運(yùn)行該命令，例如：

　　rong.38.64.Fri Aug 18 15:57:01 +

　　dbb**Never logged in**

　　xinchen**Never logged in**

　　pb **Never logged in**

　　xchen.38.64.Sun Aug 13 10:01:22 +

1.如下圖所示，先cd到我們需要監(jiān)控的日志目錄。

2.這里我拆孫州們先使用cat命令查看下日志信息，方便與動(dòng)態(tài)監(jiān)控進(jìn)行對(duì)比。

3.下面先講解下tail命令實(shí)現(xiàn)查看最后一部分日志的方法。tail 文件名，默認(rèn)顯示最后10行。

4.接著我們把10行的默認(rèn)值改成顯示20行。tail -n 20 文件名

5.通過(guò)上面的鋪墊，旅蔽我們來(lái)看看如何動(dòng)態(tài)監(jiān)控日志尾部，那就是使用命令：tail -f 文件名，可以從下圖看出查看日志后并沒(méi)有退出，一直在等待刷新日志尾部信息。

6.最后，設(shè)置下我們要監(jiān)控的尾部行數(shù)。

擴(kuò)展資料：

Linux完全兼容POSIX1.0標(biāo)準(zhǔn)

這使得可以在Linux下通過(guò)相應(yīng)的模擬器運(yùn)行常見(jiàn)的DOS、Windows的程序。這為用戶從Windows轉(zhuǎn)到Linux奠定了基礎(chǔ)。許多用戶在考慮使用Linux時(shí)，就想到以前在Windows下常見(jiàn)的程序是否能正常運(yùn)行，這一點(diǎn)就消除了他們的疑慮。

Linux支持多種平臺(tái)

Linux可以運(yùn)行在多種硬件平臺(tái)上，如具有x86、680×0、SPARC、Alpha等處理器的平臺(tái)。此外Linux還是一種嵌入式操作系統(tǒng)，可以運(yùn)行在掌上電腦、機(jī)頂盒或游戲機(jī)上。2023年1月份發(fā)布的Linux 2.4版內(nèi)核已經(jīng)能夠凱蘆完全支持Intel 64位芯片架構(gòu)。同時(shí)Linux也支持多處理器技術(shù)。多個(gè)處理器同時(shí)工作，使系統(tǒng)性能大大提高。

參考資料來(lái)源:

百度百科：Linux

查看方式：cat /var/log/*.log

如果日志在更新，實(shí)時(shí)查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

在Linux系統(tǒng)中，有三個(gè)主要的日志子系統(tǒng)：

1、連接時(shí)間日志–由多個(gè)程序執(zhí)行，把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰(shuí)在何時(shí)登錄到系統(tǒng)。

2、進(jìn)程統(tǒng)計(jì)–由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件（pacct或acct）中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

3、錯(cuò)誤日志–由syslogd（8）執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過(guò)syslog（3）向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

常用的日志文件如下：

下一步，login程序打開(kāi)文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄咐扮冊(cè)退出時(shí)，具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。

具體命令

wtmp和utmp文件都是二進(jìn)制文件，他們不能被諸如tail命令剪貼或合并（使用cat命令）。用戶需要使用who、缺稿w、users、last和ac來(lái)使用這兩個(gè)文件包含的信息。

如果指明了wtmp文件名，則who命令查詢所有以前的紀(jì)錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來(lái)的每一次登錄。

last：last命令往回搜索wtmp來(lái)顯示自從文衡宏件之一次創(chuàng)建以來(lái)登錄過(guò)的用戶。例如：

Linux日志文件在/var/log目錄下，可以通過(guò)命令查看日志文件。

1，cat messages可以查看某個(gè)日志文件。

2，要達(dá)到實(shí)時(shí)更新，可以通改尺過(guò)tail命令查看更新的數(shù)據(jù)，例如tail -f messages。

3，tail命令參數(shù)：

-f 循環(huán)讀取

-q 不顯示處理信息

-v 顯示詳細(xì)的處腔攜理信息

-c 顯示的伍殲伏字節(jié)數(shù)

-n 顯示行數(shù)

–pid=PID 與-f合用,表示在進(jìn)程ID,PID死掉之后結(jié)束.

-q, –quiet, –silent 從不輸出給出文件名的首部

-s, –sleep-interval=S 與-f合用,表示在每次反復(fù)的間隔休眠S秒。

#cd /var/log/messages (linux日志基本上都在var/log里面、如果不是你特意指定的話就在這里)

#less/cat/more/head/awk 這些命帶虛扮蠢灶令都行

cat message.log |grep /2023/ |wc -l

#ps -aux | grep httpd | wc -l 也可以用這個(gè)日志譽(yù)搏分析命令關(guān)于linux wtmp被刪除的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

成都創(chuàng)新互聯(lián)建站主營(yíng)：成都網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、網(wǎng)站改版的網(wǎng)站建設(shè)公司，提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、成都網(wǎng)站推廣、成都網(wǎng)站優(yōu)化seo、響應(yīng)式移動(dòng)網(wǎng)站開(kāi)發(fā)制作等網(wǎng)站服務(wù)。

網(wǎng)頁(yè)標(biāo)題：誰(shuí)刪除了Linux的wtmp日志文件？(linuxwtmp被刪除)
標(biāo)題來(lái)源：http://m.fisionsoft.com.cn/article/dpjgdpe.html

新聞中心

如何實(shí)時(shí)查看linux下的日志

其他資訊