Cómo ver el registro de monitoreo de procesos del sistema Linux
cat /var/log/*.log
Si el registro se está actualizando, cómo verlo en tiempo real tail -f /var/log/messages
También puedes usar watch -d -n 1 cat /var/log/messages
-d significa resaltar diferentes lugares y -n significa cuántos segundos actualizar.
Este comando no volverá directamente a la línea de comando, pero imprimirá el contenido recién agregado en el archivo de registro en tiempo real. Esta función es muy efectiva para ver registros. Si desea finalizar la salida, simplemente presione Ctrl+C.
En los sistemas Linux, hay tres subsistemas de registro principales:
Registro de tiempo de conexión: ejecutado por múltiples programas, escribiendo registros en /var/log/wtmp y /var/run/. utmp, login y otros programas actualizan los archivos wtmp y utmp, lo que permite a los administradores del sistema rastrear quién inició sesión en el sistema y cuándo.
Estadísticas del proceso: ejecutadas por el núcleo del sistema. Cuando finaliza un proceso, se escribe un registro en el archivo de estadísticas del proceso (pacct o acct) para cada proceso. El propósito de las estadísticas de procesos es proporcionar estadísticas de uso de comandos para los servicios básicos del sistema.
Registro de errores: ejecutado por syslogd(8). Varios demonios del sistema, programas de usuario y el kernel informan eventos importantes al archivo /var/log/messages a través de syslog(3). Además, existen muchos programas UNIX que crean registros. Los servidores que brindan servicios de red como HTTP y FTP también mantienen registros detallados.
Los archivos de registro comúnmente utilizados son los siguientes:
Access-LOG registra la transmisión HTTP/Web
ACCT/PACCT registra el comando de usuario
ACULOG Registrar actividades del MÓDEM
btmp Registrar registros fallidos
lastlog Registra eventos de inicio de sesión exitosos recientes y el último inicio de sesión fallido
mensajes de syslog Registra información (algunas están vinculadas a archivos syslog) información y registros de errores después del inicio del sistema, que es uno de los registros más utilizados en Red Hat Linux
sudolog Registrar comandos emitidos usando sudo
sulog cco riqueza artesanías >> syslog Registra información de syslog (generalmente vinculado al archivo de mensajes) . rico ]
Registra el uso del comando su
wtmp Un registro permanente de los tiempos de entrada y salida de el inicio de sesión de cada usuario
xferlog . ccotz]
/var/log/secure Información de registro relacionada con la seguridad
/var/log/maillog Información de registro relacionada con el correo
/var/log/cron Información de registro relacionada con tareas programadas
/var/log/spooler y UUCP y dispositivos de noticias Información de registro relacionada
/var/log /boot.log Información de registro relacionada con el inicio y la detención del demonio
Los archivos de registro utmp, wtmp y lastlog son los subsistemas de registro de UNIX más reutilizados. Clave: mantenga registros de los inicios de sesión y salidas de los usuarios. La información sobre el usuario que ha iniciado sesión actualmente se registra en el archivo utmp; los registros de entrada y salida de inicio de sesión se registran en el archivo wtmp; el último archivo de inicio de sesión se puede ver con el comando lastlog. El intercambio de datos, el apagado y el reinicio también se registran en el archivo wtmp. Todos los registros contienen marcas de tiempo. Estos archivos (lastlog suele ser pequeño) crecen muy rápidamente en sistemas con una gran cantidad de usuarios. Por ejemplo, los archivos wtmp pueden crecer indefinidamente a menos que se intercepten periódicamente.
Muchos sistemas configuran wtmp para usarlo diariamente o semanalmente. Generalmente se modifica mediante un script ejecutado por cron. Estos scripts cambian el nombre y recorren los archivos wtmp. Normalmente, wtmp se denomina wtmp.1 después del primer día; wtmp.1 se convierte en wtmp.2 después del segundo día, y así sucesivamente, hasta wtmp.7.
Cada vez que un usuario inicia sesión, el programa de inicio de sesión verifica el UID del usuario en el archivo lastlog. Si se encuentra, la hora del último inicio de sesión y salida del usuario y el nombre del host se escriben en la salida estándar y luego el programa de inicio de sesión registra la nueva hora de inicio de sesión en el último registro. Una vez escrito el nuevo registro de último registro, se abre el archivo utmp y se inserta el registro utmp del usuario. Este registro se utiliza hasta que el usuario cierra sesión y se elimina. Los archivos utmp son utilizados por varios archivos de comandos, incluidos who, w, users y finger.
A continuación, el programa de inicio de sesión abre el archivo wtmp y agrega el registro utmp del usuario. Cuando el usuario cierra sesión, se agrega al archivo el mismo registro utmp con la marca de tiempo actualizada. Los archivos wtmp son utilizados por los programas last y ac.
Comandos específicos
Los archivos wtmp y utmp son archivos binarios y no se pueden cortar, pegar ni fusionar (usando el comando cat), como el comando tail. Los usuarios deben utilizar quién, w, usuarios, último y ac para utilizar la información contenida en estos dos archivos.
Quién: el comando who consulta el archivo utmp e informa cada usuario actualmente conectado. La salida predeterminada para Quién incluye nombre de usuario, tipo de terminal, fecha de inicio de sesión y host remoto. Por ejemplo: quién (Entrar) muestra
chyang pts/0 agosto 18 15:06
ynguo pts/2 agosto 18 15:32
ynguo pts/ 3 de agosto 18 13:55
lewis pts/4 de agosto 18 13:35
ynguo pts/7 de agosto 18 14:12
ylou pts/8 de agosto 18 14:15
Si se especifica el nombre del archivo wtmp, el comando who consulta todos los registros anteriores. El comando who /var/log/wtmp informará cada inicio de sesión desde que se creó o eliminó el archivo wtmp.
w: El comando w consulta el archivo utmp y muestra información sobre cada usuario en el sistema actual y los procesos que ejecuta. Por ejemplo: w (Intro) muestra: 3:36 p. m. hasta 1 día, 22:34, 6 usuarios, promedio de carga: 0,23, 0,29, 0,27.
USUARIO TTY DESDE pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s - bash
lewis pts /4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2: 12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
usuarios: los usuarios imprimen el registro actual en usuarios en una línea separada, cada uno mostrado El nombre de usuario corresponde a una sesión de inicio de sesión. Si un usuario tiene más de una sesión de inicio de sesión, su nombre de usuario se mostrará la misma cantidad de veces. Por ejemplo: usuarios (Intro) muestra: chyang lewis lewis ylou ynguo ynguo
último: el último comando busca hacia atrás en wtmp para mostrar los usuarios que han iniciado sesión desde que se creó el archivo por primera vez.
Por ejemplo:
chyang pts/9 202.38.68.242 martes 1 de agosto 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 martes 1 de agosto 08 : 33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 martes 1 de agosto 08:32 - 12:13 (03:40)
lewis pts/ 3 202.38.64.233 martes 1 de agosto 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 martes 1 de agosto 07:56 - 11:09 (03:12) p >
Si se especifica el usuario, entonces último solo informa las actividades recientes del usuario, por ejemplo: último ynguo (Intro) muestra:
ynguo pts/4 simba.nic.ustc.e Vie 4 de agosto 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Jue 3 de agosto 23:55 - 04:40 (04:44) p>
ynguo pts/11 simba.nic.ustc.e jueves 3 de agosto 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e jueves 3 de agosto 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e miércoles 2 de agosto 01:04 - 03:16 1+02:12) p>
ynguo pts/0 simba.nic.ustc.e miércoles 2 de agosto 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e jueves 1 de agosto, 20:30 - 21:26 (00:55)
ac: el comando ac informa el tiempo de conexión del usuario (en horas) según las entradas y salidas de inicio de sesión en el archivo /var/log/wtmp actual. archivo. Si no, si se utiliza la bandera, se informa el tiempo total. Por ejemplo: ac (Intro) muestra: total 5177,47
ac -d (Intro) muestra el tiempo total de conexión por día
12 de agosto total 261,87
Ago 13 total 351,39
14 de agosto total 396,09
15 de agosto total 462,63
16 de agosto total 270,45
17 de agosto total 104,29 p >
Hoy total 179.00
ac -p (Entrar) muestra el tiempo total de conexión de cada usuario
ynguo 193.23
yucao 3.35
rong 133,40
hdai 10,52
zjzhu 52,87
zqzhou 13,14
liangliu 24,34
total 5178,22
lastlog: el archivo lastlog se consulta cada vez que un usuario inicia sesión. Puede utilizar el comando lastlog para comprobar la hora del último inicio de sesión de un usuario específico y formatear el contenido del último registro de inicio de sesión /var/log/lastlog. Muestra el nombre de inicio de sesión, el número de puerto (tty) y la hora del último inicio de sesión ordenados por UID.
Si un usuario nunca ha iniciado sesión, el último registro muestra "**Nunca he iniciado sesión**. Tenga en cuenta que debe ejecutar este comando como root, por ejemplo:
rong 5 202.38.64.187 Vie 18 de agosto 15: 57:01 +0800 2000
dBB Nunca inicié sesión**
xchen 0 202.38.64.190 domingo 13 de agosto 10:01:22 +0800 2000
En Además, puede agregar algunos parámetros, por ejemplo, lastlog -u 102 informará al usuario con UID 102; lastlog -t 7 significa limitar los informes a la semana anterior.