日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
誰刪除了Linux的wtmp日志文件?(linuxwtmp被刪除)

Linux是目前更流行的操作系統(tǒng)之一,因?yàn)樗姆€(wěn)定性和可靠性而備受歡迎。在Linux中有許多日志記錄功能,其中wtmp日志文件是一個(gè)重要的登錄記錄日志文件。它記錄了用戶登錄進(jìn)入系統(tǒng)的信息,以及退出系統(tǒng)的時(shí)間和方式。這個(gè)日志文件對(duì)于系統(tǒng)管理員來說是非常重要的,因?yàn)樗梢蕴峁┯嘘P(guān)系統(tǒng)使用情況的重要數(shù)據(jù)。如果wtmp日志文件被刪除或損壞,管理員將無法查看系統(tǒng)使用情況的詳細(xì)信息,這可能會(huì)導(dǎo)致嚴(yán)重的后果。

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括紅寺堡網(wǎng)站建設(shè)、紅寺堡網(wǎng)站制作、紅寺堡網(wǎng)頁制作以及紅寺堡網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,紅寺堡網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到紅寺堡省份的部分城市,未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

最近有一個(gè)奇怪的事情發(fā)生了:Linux的wtmp日志文件被刪除或損壞。現(xiàn)在的問題是:誰刪除了它?這個(gè)問題涉及到系統(tǒng)管理員和所有有權(quán)訪問系統(tǒng)的用戶。因此,我們需要仔細(xì)調(diào)查,以確定是誰刪除了該文件。

我們需要查看系統(tǒng)日志以確定刪除時(shí)間。Linux系統(tǒng)的日志文件通常位于/var/log/目錄下,我們可以使用命令 grep “wtmp” /var/log/messages 查找wtmp日志文件的相關(guān)信息。如果發(fā)現(xiàn) wtmp 文件被刪除的記錄,我們可以看到刪除時(shí)間,從而開始我們的調(diào)查工作。

第二,我們需要查找哪些用戶有文件刪除的權(quán)限。在Linux系統(tǒng)中,只有具有sudo權(quán)限的用戶才能刪除重要的系統(tǒng)文件。因此,我們需要查看具有sudo權(quán)限的用戶列表,以確定哪些用戶有權(quán)刪除wtmp日志文件。我們可以通過運(yùn)行命令“sudo cat /etc/sudoers|grep ALL=(ALL) NOPASSWD: ALL”,來查看具有sudo權(quán)限的用戶列表。

第三,我們需要查找哪些用戶有被刪除wtmp文件的動(dòng)機(jī)。在某些情況下,可能會(huì)出現(xiàn)某些用戶故意刪除wtmp文件的情況。例如,一個(gè)內(nèi)部員工可能會(huì)利用這種漏洞,來刪除訪問記錄以隱藏他們的行蹤。因此,我們需要調(diào)查所有有可能刪除wtmp文件的用戶,并了解他們是否有任何動(dòng)機(jī)或合法的理由來刪除文件。

我們需要通過系統(tǒng)日志或其他安全措施來保證阻止wtmp日志文件再次被刪除??梢允褂孟拗朴脩粼L問的安全策略來防止未經(jīng)授權(quán)的用戶刪除文件。此外,我們還可以使用文件監(jiān)視工具等來及時(shí)檢測并且通知管理員,哪個(gè)用戶正在嘗試刪除系統(tǒng)的重要日志文件。

結(jié)論

為了確定誰刪除了 Linux 的wtmp日志文件,我們必須對(duì)系統(tǒng)的各個(gè)方面進(jìn)行調(diào)查。但是,只要有超級(jí)用戶權(quán)限,任何人都可以刪除該文件,這是很難和防止的。因此,確保系統(tǒng)安全和數(shù)據(jù)的完整性的更佳方法是部署多層次安全的策略,可以增強(qiáng)安全性并防止未經(jīng)授權(quán)的行為。

相關(guān)問題拓展閱讀:

  • 如何實(shí)時(shí)查看linux下的日志

如何實(shí)時(shí)查看linux下的日志

cat /var/log/*.log

如果日志在更新,如何實(shí)時(shí)查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方,-n表示多少秒刷新一次慎游。

該指令,不會(huì)直接返回命令行,而是實(shí)時(shí)打印日志文件中新增加的內(nèi)容,這一特性,對(duì)于查看日志是非常有效的。如果想終止輸出,按 Ctrl+C 即可。

在Linux系統(tǒng)中,有三個(gè)主要的日志子系統(tǒng):

  連接時(shí)間日志–由多個(gè)程序執(zhí)行,把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。

  進(jìn)程統(tǒng)計(jì)–由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

  錯(cuò)誤日志–由syslogd(8)執(zhí)行。各種系薯孝穗統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

  常用的日志文件如下:

  access-log紀(jì)錄HTTP/web的傳輸

  acct/pacct紀(jì)錄用戶命令

  aculog紀(jì)錄MODEM的活動(dòng)

  btmp紀(jì)數(shù)卜錄失敗的紀(jì)錄

  lastlog  紀(jì)錄最近幾次成功登錄的事件和最后一次不成功的登錄

  messages    從syslog中記錄信息(有的鏈接到syslog文件)系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志,是Red Hat Linux中最常用的日志之一

  sudolog紀(jì)錄使用sudo發(fā)出的命令

  sulog紀(jì)錄使用su命令的使用

  syslog     從syslog中記錄信息(通常鏈接到messages文件)

  utmp紀(jì)錄當(dāng)前登錄的每個(gè)用戶

  wtmp一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久紀(jì)錄

  xferlog紀(jì)錄FTP會(huì)話

/var/log/secure與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息

/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

  utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵–保持用戶登錄進(jìn)入和退出的紀(jì)錄。有關(guān)當(dāng)前登錄用戶的信息記錄在文件utmp中;登錄進(jìn)入和退出紀(jì)錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察看。數(shù)據(jù)交換、關(guān)機(jī)和重起也記錄在wtmp文件中。所有的紀(jì)錄都包含時(shí)間戳。這些文件(lastlog通常不大)在具有大量用戶的系統(tǒng)中增長十分迅速。例如wtmp文件可以無限增長,除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運(yùn)行的腳本來修改。這些腳本重新命名并循環(huán)使用wtmp文件。通常,wtmp在之一天結(jié)束后命名為wtmp.1;第二天后wtmp.1變?yōu)閣tmp.2等等,直到wtmp.7。

  每次有一個(gè)用戶登錄時(shí),login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中,然后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫入后,utmp文件打開并插入用戶的utmp紀(jì)錄。該紀(jì)錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。

  下一步,login程序打開文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄退出時(shí),具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。

  具體命令

  wtmp和utmp文件都是二進(jìn)制文件,他們不能被諸如tail命令剪貼或合并(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個(gè)文件包含的信息。

  who:who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)。例如:who(回車)顯示

  chyang     pts/0 Aug:06

  ynguo     pts/2 Aug:32

  ynguo     pts/3 Aug:55

  lewis     pts/4 Aug:35

  ynguo     pts/7 Aug:12

  ylou     pts/8 Aug:15

  如果指明了wtmp文件名,則who命令查詢所有以前的紀(jì)錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。

  w:w命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息。例如:w(回車)顯示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

  USER   TTY    FROM     LOGIN@ IDLE JCPU PCPU  WHAT

  chyang pts/0 202.38.68.242  3:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47   3:32pm 0.00s 0.14s 0.05   w

  lewis pts/3 202.38.64.233  1:55pm 30:39 0.27s 0.22s -bash

  lewis pts/4 202.38.64.233  1:35pm 6.00s 4.03s 0.01s sh /home/users/

  ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

  ylou  pts/8 202.38.64.235  2:15pm 1:09m 0.10s 0.04s  -bash

  users:users用單獨(dú)的一行打印出當(dāng)前登錄的用戶,每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話,那他的用戶名將顯示相同的次數(shù)。例如:users(回車)顯示:chyang lewis lewis ylou ynguo ynguo

 last:last命令往回搜索wtmp來顯示自從文件之一次創(chuàng)建以來登錄過的用戶。例如:

  chyang pts/9  202.38.68.242 Tue Aug 1 08::23 (02:49)

  cfan  pts/6  202.38.64.224 Tue Aug 1 08::48 (00:14)

  chyang pts/4  202.38.68.242 Tue Aug 1 08::13 (03:40)

  lewis pts/3  202.38.64.233 Tue Aug 1 08::09 (03:03)

  lewis pts/2  202.38.64.233 Tue Aug 1 07::09 (03:12)

  如果指明了用戶,那么last只報(bào)告該用戶的近期活動(dòng),例如:last ynguo(回車)顯示:

  ynguo  pts/4 simba.nic.ustc.e Fri Aug 4 16::20 (15:30)

  ynguo  pts/4 simba.nic.ustc.e Thu Aug 3 23::40 (04:44)

  ynguo  pts/11 simba.nic.ustc.e Thu Aug 3 20::02 (01:16)

  ynguo  pts/0 simba.nic.ustc.e Thu Aug 3 03::42 (02:25)

  ynguo  pts/0 simba.nic.ustc.e Wed Aug 2 01::16 1+02:12)

  ynguo  pts/0 simba.nic.ustc.e Wed Aug 2 00::54 (00:11)

  ynguo  pts/9 simba.nic.ustc.e Thu Aug 1 20::26 (00:55)

  ac:ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來報(bào)告用戶連結(jié)的時(shí)間(小時(shí)),如果不使用標(biāo)志,則報(bào)告總的時(shí)間。例如:ac(回車)顯示:total 5177.47

  ac -d(回車)顯示每天的總的連結(jié)時(shí)間

  Aug 12 total 261.87

  Aug 13 total 351.39

  Aug 14 total 396.09

  Aug 15 total 462.63

  Aug 16 total 270.45

  Aug 17 total 104.29

  Today total 179.00

  ac -p (回車)顯示每個(gè)用戶的總的連接時(shí)間

  ynguo 193.23

  yucao 3.35

  rong 133.40

  hdai 10.52

  zjzhu 52.87

  zqzhou 13.14

  liangliu 24.34

  total 5178.22

  lastlog:lastlog文件在每次有用戶登錄時(shí)被查詢??梢允褂胠astlog命令來檢查某特定用戶上次登錄的時(shí)間,并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(hào)(tty)和上次登錄時(shí)間。如果一個(gè)用戶從未登錄過,lastlog顯示”**Never logged**。注意需要以root運(yùn)行該命令,例如:

  rong.38.64.Fri Aug 18 15:57:01 +

  dbb**Never logged in**

  xinchen**Never logged in**

  pb **Never logged in**

  xchen.38.64.Sun Aug 13 10:01:22 +

1.如下圖所示,先cd到我們需要監(jiān)控的日志目錄。

2.這里我拆孫州們先使用cat命令查看下日志信息,方便與動(dòng)態(tài)監(jiān)控進(jìn)行對(duì)比。

3.下面先講解下tail命令實(shí)現(xiàn)查看最后一部分日志的方法。tail 文件名,默認(rèn)顯示最后10行。

4.接著我們把10行的默認(rèn)值改成顯示20行。tail -n 20 文件名

5.通過上面的鋪墊,旅蔽我們來看看如何動(dòng)態(tài)監(jiān)控日志尾部,那就是使用命令:tail -f 文件名,可以從下圖看出查看日志后并沒有退出,一直在等待刷新日志尾部信息。

6.最后,設(shè)置下我們要監(jiān)控的尾部行數(shù)。

擴(kuò)展資料:

Linux完全兼容POSIX1.0標(biāo)準(zhǔn)

這使得可以在Linux下通過相應(yīng)的模擬器運(yùn)行常見的DOS、Windows的程序。這為用戶從Windows轉(zhuǎn)到Linux奠定了基礎(chǔ)。許多用戶在考慮使用Linux時(shí),就想到以前在Windows下常見的程序是否能正常運(yùn)行,這一點(diǎn)就消除了他們的疑慮。

Linux支持多種平臺(tái)

Linux可以運(yùn)行在多種硬件平臺(tái)上,如具有x86、680×0、SPARC、Alpha等處理器的平臺(tái)。此外Linux還是一種嵌入式操作系統(tǒng),可以運(yùn)行在掌上電腦、機(jī)頂盒或游戲機(jī)上。2023年1月份發(fā)布的Linux 2.4版內(nèi)核已經(jīng)能夠凱蘆完全支持Intel 64位芯片架構(gòu)。同時(shí)Linux也支持多處理器技術(shù)。多個(gè)處理器同時(shí)工作,使系統(tǒng)性能大大提高。

參考資料來源:

百度百科:Linux

查看方式:cat /var/log/*.log

如果日志在更新,實(shí)時(shí)查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方,-n表示多少秒刷新一次。

該指令,不會(huì)直接返回命令行,而是實(shí)時(shí)打印日志文件中新增加的內(nèi)容,這一特性,對(duì)于查看日志是非常有效的。如果想終止輸出,按 Ctrl+C 即可。

在Linux系統(tǒng)中,有三個(gè)主要的日志子系統(tǒng):

1、連接時(shí)間日志–由多個(gè)程序執(zhí)行,把紀(jì)錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。

2、進(jìn)程統(tǒng)計(jì)–由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct或acct)中寫一個(gè)紀(jì)錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。

3、錯(cuò)誤日志–由syslogd(8)執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡(luò)服務(wù)的服務(wù)器也保持詳細(xì)的日志。

常用的日志文件如下:

每次有一個(gè)用戶登錄時(shí),login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中,然 后login程序在lastlog中紀(jì)錄新的登錄時(shí)間。在新的lastlog紀(jì)錄寫入后,utmp文件打開并插入用戶的utmp紀(jì)錄。該紀(jì)錄一直用到用戶 登錄退出時(shí)刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。

下一步,login程序打開文件wtmp附加用戶的utmp紀(jì)錄。當(dāng)用戶登錄咐扮冊(cè)退出時(shí),具有更新時(shí)間戳的同一utmp紀(jì)錄附加到文件中。wtmp文件被程序last和ac使用。

具體命令

wtmp和utmp文件都是二進(jìn)制文件,他們不能被諸如tail命令剪貼或合并(使用cat命令)。用戶需要使用who、缺稿w、users、last和ac來使用這兩個(gè)文件包含的信息。

who:who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠(yuǎn)程主機(jī)。例如:who(回車)顯示

如果指明了wtmp文件名,則who命令查詢所有以前的紀(jì)錄。命令who /var/log/wtmp將報(bào)告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。

w:w命令查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息。例如:w(回車)顯示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

users:users用單獨(dú)的一行打印出當(dāng)前登錄的用戶,每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話,那他的用戶名將顯示相同的次數(shù)。例如:users(回車)顯示:chyang lewis lewis ylou ynguo ynguo

last:last命令往回搜索wtmp來顯示自從文衡宏件之一次創(chuàng)建以來登錄過的用戶。例如:

ac:ac命令根據(jù)當(dāng)前的/var/log/wtmp文件中的登錄進(jìn)入和退出來報(bào)告用戶連結(jié)的時(shí)間(小時(shí)),如果不使用標(biāo)志,則報(bào)告總的時(shí)間。例如:ac(回車)顯示:total 5177.47

lastlog:lastlog文件在每次有用戶登錄時(shí)被查詢??梢允褂胠astlog命令來檢查某特定用戶上次登錄的時(shí)間,并格式化輸出上次登錄日 志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(hào)(tty)和上次登錄時(shí)間。如果一個(gè)用戶從未登錄過,lastlog顯 示”**Never logged**。注意需要以root運(yùn)行該命令,例如:

Linux日志文件在/var/log目錄下,可以通過命令查看日志文件。

1,cat messages可以查看某個(gè)日志文件。

2,要達(dá)到實(shí)時(shí)更新,可以通改尺過tail命令查看更新的數(shù)據(jù),例如tail -f messages。

3,tail命令參數(shù):

-f 循環(huán)讀取

-q 不顯示處理信息

-v 顯示詳細(xì)的處腔攜理信息

-c 顯示的伍殲伏字節(jié)數(shù)

-n 顯示行數(shù)

–pid=PID 與-f合用,表示在進(jìn)程ID,PID死掉之后結(jié)束.

-q, –quiet, –silent 從不輸出給出文件名的首部

-s, –sleep-interval=S 與-f合用,表示在每次反復(fù)的間隔休眠S秒。

#cd /var/log/messages (linux日志基本上都在var/log里面、如果不是你特意指定的話就在這里)

#less/cat/more/head/awk 這些命帶虛扮蠢灶令都行

cat message.log |grep /2023/ |wc -l

#ps -aux | grep httpd | wc -l 也可以用這個(gè)日志譽(yù)搏分析命令關(guān)于linux wtmp被刪除的介紹到此就結(jié)束了,不知道你從中找到你需要的信息了嗎 ?如果你還想了解更多這方面的信息,記得收藏關(guān)注本站。

成都創(chuàng)新互聯(lián)建站主營:成都網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、網(wǎng)站改版的網(wǎng)站建設(shè)公司,提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、成都網(wǎng)站推廣、成都網(wǎng)站優(yōu)化seo、響應(yīng)式移動(dòng)網(wǎng)站開發(fā)制作等網(wǎng)站服務(wù)。


當(dāng)前文章:誰刪除了Linux的wtmp日志文件?(linuxwtmp被刪除)
本文網(wǎng)址:http://www.5511xx.com/article/dpjgdpe.html