Ведение журнала является важной частью операционных систем на базе Linux.
Журналы пользователей, которые вошли в систему и вышли из системы, также поддерживаются системой.
Файлы / var / run / utmp и / var / log / wtmp содержат журналы для входа и выхода из системы.
Эти два файла представляют собой двоичные файлы.
Вы не можете видеть их с помощью любого текстового редактора или пейджера, например «less».
Некоторые команды используют эти файлы для своего вывода.
Файл /var/run/utmp
Этот файл содержит информацию о пользователях, которые в настоящее время вошли в систему.
Команда «who» использует этот файл для отображения зарегистрированных пользователей:
$ who root tty1 2012-12-26 11:53 raghu tty8 2012-12-26 03:00 (:0) raghu pts/0 2012-12-26 11:02 (:0.0)
Согласно странице руководства пользователя utmp
Файл utmp позволяет обнаружить информацию о том, кто в данный момент использует систему.
В настоящее время в системе может быть больше пользователей, поскольку не все программы используют ведение журнала utmp.
Файл /var/log/wtmp
Этот файл похож на историю для файла utmp, т. е. он поддерживает журналы всех зарегистрированных и выведенных из системы пользователей (в прошлом).
Команда last использует этот файл для отображения списка последних зарегистрированных пользователей.
$ last raghu pts/0 :0.0 Wed Dec 26 11:02 still logged in raghu tty8 :0 Wed Dec 26 03:00 still logged in reboot system boot 3.5.0-17-generic Wed Dec 26 03:00 - 11:30 (08:29) raghu pts/0 :0.0 Wed Dec 26 02:18 - 02:20 (00:01) raghu tty8 :0 Tue Dec 25 18:36 - down (07:44) reboot system boot 3.5.0-17-generic Tue Dec 25 18:35 - 02:21 (07:45) raghu pts/0 :0.0 Tue Dec 25 14:36 - 14:38 (00:02) raghu pts/0 :0.0 Tue Dec 25 13:33 - 14:14 (00:40) root pts/0 :0.0 Tue Dec 25 13:25 - 13:25 (00:00) root pts/0 :0.0 Tue Dec 25 13:23 - 13:23 (00:00) root pts/0 :0.0 Tue Dec 25 13:21 - 13:21 (00:00) ---output truncated--- wtmp begins Mon Nov 5 21:10:35 2012
Согласно странице руководства wtmp
Файл wtmp записывает все логины и логауты.
Его формат точно так же, как и utmp, за исключением того, что нулевое имя пользователя указывает на выход из соответствующего терминала.
Кроме того, имя терминала ~ с отключением или перезагрузкой имени пользователя указывает на выключение или перезагрузку системы, а пара имен терминалов | /} регистрирует старое / новое системное время, когда дата (1) меняет его. wtmp поддерживается логином (1), init (8) и некоторыми версиями getty (8) (например, mingetty (8) или agetty (8)).
Ни одна из этих программ не создает файл, поэтому при его удалении запись выполняется.
Другим важным файлом, связанным с входами пользователей, является / var / log / btmp.
Этот файл содержит неудачные попытки входа в систему. Этот файл используется командой lastb:
$ lastb raghu tty8 :0 Fri Dec 21 06:36 - 06:36 (00:00) root tty1 Tue Dec 11 14:14 - 14:14 (00:00) raghu tty7 :0 Mon Dec 10 18:51 - 18:51 (00:00)