Linux 系统日志—Secure，Btmp，Wtmp文件详解

Linux系统日志—Secure，Btmp，Wtmp文件详解

Linux系统日志是记录系统运行过程中各种事件的重要信息，它对于系统管理员来说至关重要，考虑到日志可以帮助他们了解系统的运行状态、追踪问题、监控保险事件等。在Linux系统中，有几个重要的日志文件，其中Secure、Btmp和Wtmp是其中最为重要的几个。下面将详细介绍这三个日志文件。

1. Secure日志文件

Secure日志文件记录了所有通过PAM（Pluggable Authentication Modules）认证尝试的事件。PAM是一种用于提供系统服务的认证机制，它允许不同的认证模块通过统一的行为来实现认证。Secure日志文件通常位于`/var/log/secure`目录下。

Secure日志文件中记录了以下信息：

- 成就或挫败的登录尝试

- 用户认证信息

- 系统事件，如关机、重启等

- 与保险相关的其他事件

以下是一个Secure日志文件的示例片段：

Dec 5 08:48:01 servername sshd: Failed password for invalid user from 192.168.1.100 port 49664 ssh2

Dec 5 08:48:01 servername sudo: [timestamp] user not in sudoers ; TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/usr/bin/passwd root

Dec 5 08:48:01 servername sudo: [timestamp] pam_unix(sudo:auth): authentication failure; logname= uid=0 euid=0 tty=pts/0 ruser=root rhost=192.168.1.100

2. Btmp日志文件

Btmp（Brokered Temporary）日志文件记录了所有通过认证代理（如SSHD）登录尝试的事件。这个文件通常位于`/var/log/btmp`目录下。Btmp文件用于记录挫败的登录尝试，而成就的登录尝试则记录在Wtmp文件中。

Btmp日志文件包含以下信息：

- 登录尝试的时间戳

- 登录尝试的IP地址

- 尝试登录的用户名

- 认证代理的类型（如sshd、sudo等）

以下是一个Btmp日志文件的示例片段：

ts=1638765442 src=192.168.1.100 dst=192.168.1.100 ruser=invalid rhost=192.168.1.100 user=invalid terminal=ssh1 from=192.168.1.100

3. Wtmp日志文件

Wtmp（Writeable Time/Who）日志文件记录了所有用户登录和注销的事件。这个文件通常位于`/var/log/wtmp`目录下。Wtmp文件包含了系统启动以来的所有用户活动信息。

Wtmp日志文件包含以下信息：

- 登录和注销的时间戳

- 登录的用户名

- 登录和注销的终端

- 登录和注销的IP地址

- 认证代理的类型

以下是一个Wtmp日志文件的示例片段：

Dec 5 08:47:23 servername tuser pts/0 :0 192.168.1.100 :0 :0

Dec 5 08:48:01 servername tuser pts/0 :0 192.168.1.100 :0 :0

Dec 5 08:48:02 servername tuser logout :0 :0

4. 查看和分析日志文件

Linux系统中，可以使用多种工具来查看和分析日志文件。以下是一些常用的命令：

- `last`：显示用户登录和注销的历史记录。

- `lastb`：显示挫败的登录尝试。

- `lastlog`：显示用户最近一次登录信息。

- `who`：显示当前登录的用户列表。

- `w`：显示当前登录的用户及其正在进行的活动。

以下是一个使用`last`命令查看登录历史的示例：

bash

[root@servername ~]# last

tuser pts/0 192.168.1.100 Wed Dec 5 08:48 still logged in

tuser pts/0 192.168.1.100 Wed Dec 5 08:47 - 08:48 (00:01)

tuser pts/0 192.168.1.100 Wed Dec 5 08:47 - 08:47 (00:00)

5. 日志文件的旋转和压缩

随着系统运行时间的增长，日志文件会变得越来越大。为了防止日志文件占用过多磁盘空间，通常需要对日志文件进行旋转和压缩。Linux系统中，可以使用`logrotate`工具来实现日志

本文由IT视界版权所有,禁止未经同意的情况下转发