Cómo ver el registro de monitoreo de procesos del sistema Linux

cat /var/log/*.log

Si el registro se está actualizando, cómo verlo en tiempo real tail -f /var/log/messages

También puedes usar watch -d -n 1 cat /var/log/messages

-d significa resaltar diferentes lugares y -n significa cuántos segundos actualizar.

Este comando no volverá directamente a la línea de comando, pero imprimirá el contenido recién agregado en el archivo de registro en tiempo real. Esta función es muy efectiva para ver registros. Si desea finalizar la salida, simplemente presione Ctrl+C.

En los sistemas Linux, hay tres subsistemas de registro principales:

Registro de tiempo de conexión: ejecutado por múltiples programas, escribiendo registros en /var/log/wtmp y /var/run/. utmp, login y otros programas actualizan los archivos wtmp y utmp, lo que permite a los administradores del sistema rastrear quién inició sesión en el sistema y cuándo.

Estadísticas del proceso: ejecutadas por el núcleo del sistema. Cuando finaliza un proceso, se escribe un registro en el archivo de estadísticas del proceso (pacct o acct) para cada proceso. El propósito de las estadísticas de procesos es proporcionar estadísticas de uso de comandos para los servicios básicos del sistema.

Registro de errores: ejecutado por syslogd(8). Varios demonios del sistema, programas de usuario y el kernel informan eventos importantes al archivo /var/log/messages a través de syslog(3). Además, existen muchos programas UNIX que crean registros. Los servidores que brindan servicios de red como HTTP y FTP también mantienen registros detallados.

Los archivos de registro comúnmente utilizados son los siguientes:

Access-LOG registra la transmisión HTTP/Web

ACCT/PACCT registra el comando de usuario

ACULOG Registrar actividades del MÓDEM

btmp Registrar registros fallidos

lastlog Registra eventos de inicio de sesión exitosos recientes y el último inicio de sesión fallido

mensajes de syslog Registra información (algunas están vinculadas a archivos syslog) información y registros de errores después del inicio del sistema, que es uno de los registros más utilizados en Red Hat Linux

sudolog Registrar comandos emitidos usando sudo

sulog 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　cco riqueza artesanías >> syslog 　　　 Registra información de syslog (generalmente vinculado al archivo de mensajes) 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.　　　　　　　　　　　　　　　 rico ]

  Registra el uso del comando su

wtmp　　　Un registro permanente de los tiempos de entrada y salida de el inicio de sesión de cada usuario

xferlog　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.　　ccotz]

/var/log/secure Información de registro relacionada con la seguridad

/var/log/maillog Información de registro relacionada con el correo

/var/log/cron Información de registro relacionada con tareas programadas

/var/log/spooler y UUCP y dispositivos de noticias Información de registro relacionada

/var/log /boot.log Información de registro relacionada con el inicio y la detención del demonio

Los archivos de registro utmp, wtmp y lastlog son los subsistemas de registro de UNIX más reutilizados. Clave: mantenga registros de los inicios de sesión y salidas de los usuarios. La información sobre el usuario que ha iniciado sesión actualmente se registra en el archivo utmp; los registros de entrada y salida de inicio de sesión se registran en el archivo wtmp; el último archivo de inicio de sesión se puede ver con el comando lastlog. El intercambio de datos, el apagado y el reinicio también se registran en el archivo wtmp. Todos los registros contienen marcas de tiempo. Estos archivos (lastlog suele ser pequeño) crecen muy rápidamente en sistemas con una gran cantidad de usuarios. Por ejemplo, los archivos wtmp pueden crecer indefinidamente a menos que se intercepten periódicamente.

Muchos sistemas configuran wtmp para usarlo diariamente o semanalmente. Generalmente se modifica mediante un script ejecutado por cron. Estos scripts cambian el nombre y recorren los archivos wtmp. Normalmente, wtmp se denomina wtmp.1 después del primer día; wtmp.1 se convierte en wtmp.2 después del segundo día, y así sucesivamente, hasta wtmp.7.

Cada vez que un usuario inicia sesión, el programa de inicio de sesión verifica el UID del usuario en el archivo lastlog. Si se encuentra, la hora del último inicio de sesión y salida del usuario y el nombre del host se escriben en la salida estándar y luego el programa de inicio de sesión registra la nueva hora de inicio de sesión en el último registro. Una vez escrito el nuevo registro de último registro, se abre el archivo utmp y se inserta el registro utmp del usuario. Este registro se utiliza hasta que el usuario cierra sesión y se elimina. Los archivos utmp son utilizados por varios archivos de comandos, incluidos who, w, users y finger.

A continuación, el programa de inicio de sesión abre el archivo wtmp y agrega el registro utmp del usuario. Cuando el usuario cierra sesión, se agrega al archivo el mismo registro utmp con la marca de tiempo actualizada. Los archivos wtmp son utilizados por los programas last y ac.

Comandos específicos

Los archivos wtmp y utmp son archivos binarios y no se pueden cortar, pegar ni fusionar (usando el comando cat), como el comando tail. Los usuarios deben utilizar quién, w, usuarios, último y ac para utilizar la información contenida en estos dos archivos.

Quién: el comando who consulta el archivo utmp e informa cada usuario actualmente conectado. La salida predeterminada para Quién incluye nombre de usuario, tipo de terminal, fecha de inicio de sesión y host remoto. Por ejemplo: quién (Entrar) muestra

chyang　　pts/0 agosto　　18 15:06

ynguo　　pts/2 agosto　　　18 15:32

ynguo　　pts/ 3 de agosto　　　 18 13:55

lewis　　pts/4 de agosto　　 18 13:35

ynguo　　　pts/7 de agosto　　　 18 14:12

ylou　　　pts/8 de agosto 18 14:15

Si se especifica el nombre del archivo wtmp, el comando who consulta todos los registros anteriores. El comando who /var/log/wtmp informará cada inicio de sesión desde que se creó o eliminó el archivo wtmp.

w: El comando w consulta el archivo utmp y muestra información sobre cada usuario en el sistema actual y los procesos que ejecuta. Por ejemplo: w (Intro) muestra: 3:36 p. m. hasta 1 día, 22:34, 6 usuarios, promedio de carga: 0,23, 0,29, 0,27.

USUARIO TTY DESDE pts/2 202.38.79.47　3:32pm 0.00s 0.14s 0.05　w

lewis pts/3 202.38.64.233　1:55pm 30:39 0.27s 0.22s - bash

lewis pts /4 202.38.64.233　1:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2: 12pm 0.00s 0.47s 0.24s telnet mail

ylou　pts/8 202.38.64.235　2:15pm 1:09m 0.10s 0.04s　-bash

usuarios: los usuarios imprimen el registro actual en usuarios en una línea separada, cada uno mostrado El nombre de usuario corresponde a una sesión de inicio de sesión. Si un usuario tiene más de una sesión de inicio de sesión, su nombre de usuario se mostrará la misma cantidad de veces. Por ejemplo: usuarios (Intro) muestra: chyang lewis lewis ylou ynguo ynguo

último: el último comando busca hacia atrás en wtmp para mostrar los usuarios que han iniciado sesión desde que se creó el archivo por primera vez.

Por ejemplo:

chyang pts/9　202.38.68.242 martes 1 de agosto 08:34 - 11:23 (02:49)

cfan　pts/6　202.38.64.224 martes 1 de agosto 08 : 33 - 08:48 (00:14)

chyang pts/4　202.38.68.242 martes 1 de agosto 08:32 - 12:13 (03:40)

lewis pts/ 3 202.38.64.233 martes 1 de agosto 08:06 - 11:09 (03:03)

lewis pts/2　202.38.64.233 martes 1 de agosto 07:56 - 11:09 (03:12)

Si se especifica el usuario, entonces último solo informa las actividades recientes del usuario, por ejemplo: último ynguo (Intro) muestra:

ynguo　pts/4 simba.nic.ustc.e Vie 4 de agosto 16:50 - 08:20 (15:30)

ynguo　pts/4 simba.nic.ustc.e Jue 3 de agosto 23:55 - 04:40 (04:44)

ynguo　pts/11 simba.nic.ustc.e jueves 3 de agosto 20:45 - 22:02 (01:16)

ynguo　pts/0 simba.nic.ustc.e jueves 3 de agosto 03:17 - 05:42 (02:25)

ynguo　pts/0 simba.nic.ustc.e miércoles 2 de agosto 01:04 - 03:16 1+02:12)

ynguo　pts/0 simba.nic.ustc.e miércoles 2 de agosto 00:43 - 00:54 (00:11)

ynguo　pts/9 simba.nic.ustc.e jueves 1 de agosto, 20:30 - 21:26 (00:55)

ac: el comando ac informa el tiempo de conexión del usuario (en horas) según las entradas y salidas de inicio de sesión en el archivo /var/log/wtmp actual. archivo. Si no, si se utiliza la bandera, se informa el tiempo total. Por ejemplo: ac (Intro) muestra: total 5177,47

ac -d (Intro) muestra el tiempo total de conexión por día

12 de agosto total 261,87

Ago 13 total 351,39

14 de agosto total 396,09

15 de agosto total 462,63

16 de agosto total 270,45

17 de agosto total 104,29

Hoy total 179.00

ac -p (Entrar) muestra el tiempo total de conexión de cada usuario

ynguo 193.23

yucao 3.35

rong 133,40

hdai 10,52

zjzhu 52,87

zqzhou 13,14

liangliu 24,34

total 5178,22

lastlog: el archivo lastlog se consulta cada vez que un usuario inicia sesión. Puede utilizar el comando lastlog para comprobar la hora del último inicio de sesión de un usuario específico y formatear el contenido del último registro de inicio de sesión /var/log/lastlog. Muestra el nombre de inicio de sesión, el número de puerto (tty) y la hora del último inicio de sesión ordenados por UID.

Si un usuario nunca ha iniciado sesión, el último registro muestra "**Nunca he iniciado sesión**. Tenga en cuenta que debe ejecutar este comando como root, por ejemplo:

rong　　　　5　 202.38.64.187　　　 Vie 18 de agosto 15: 57:01 +0800 2000

dBB Nunca inicié sesión**

xchen　　 0　 202.38.64.190　　　　domingo 13 de agosto 10:01:22 +0800 2000

En Además, puede agregar algunos parámetros, por ejemplo, lastlog -u 102 informará al usuario con UID 102; lastlog -t 7 significa limitar los informes a la semana anterior.