Linux的系统痕迹命令，系统中一些重要的痕迹日志文件

系统中有一些重要的痕迹日志文件， 如/var/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog等日志文件，如果你用vim打开这些文件，你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹，包括某个用户何时登录了系统，何时退出了系统，错误登录等重要的系统信息。这些信息要是可以通过vim打开，就能编辑，这样痕迹信息就不准确，所以这些重要的痕迹日志，只能通过对应的命令来进行查看。

w 命令

w 命令是显示系统中正在登陆的用户信息的命令，这个命令查看的痕迹日志是/var/run/utmp。这个命令的基本信息如下：

• 命令名称：w

• 英文原意：Show who is logged on and what they are doing.

• 所在路径：/usr/bin/w

• 执行权限：所有用户。

• 功能描述：显示灯用户，和他正在做什么。例如：

第一行信息，内容如下：

第二行信息，内容如下：

who 命令

who 命令和 w 命令类似，用于查看正在登陆的用户，但是显示的内容更加简单，也是查看/var/run/utmp 日志。

#用户名          登陆终端                 登陆时间（来源IP）

last 命令

last 命令是查看系统所有登陆过的用户信息的，包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp 痕迹日志文件。

lastlog命令

lastlog命令是查看系统中所有用户最后一次的登陆时间的命令，他查看的日志是/var/log/lastlog文件。