高防服务器/var/log目录中的部分日志文件是二进制数据文件,不能直接查阅,只能应用特定的程序对其进行读写。
1、注册失败日志
注册失败记载位于/ ar/log/ faillog日志文件,这是一个范例的二进制数据文件,不能直接读取,需要时可利用 failing命令查阅。
2、最近一次注册日志
最近一次(或者说最后一次)用户注册的时间记载位于/ar/ og/astlog日志文件中。这也是一个范例的二进制数据文件,需要应用lastlog命令查阅。
3、用户注册日志
/var/run/utmp和/ar/ og/wtmp日志文件包含系统中每个用户的注册记载。在调度各种过程时,系统将会主动记载每个过程的起止运行时间。对于当前运动的过程,其相干信息均记载在/ ar/run/utmp文件中。当收到一个信号,告诉其调度的过程已经终止运行时,如果/ ar/logwtmp文件存在,系统将会把相应的过程信息转录到wtmp文件中,阐明过程是什么时间启动和终止的,以及终止的原因等。也就是说,/var/ log/wtmp文件将会记载全部过程调度的历史。
/var/log/wtmp文件中记载的部分信息如下(详见/usr/ include/bits/utmp.h文件的定义或utmp/ wtmp手册页):
1)过程或记载类型(其中,1为运行级转变时间,2为系统领导时间,5为int调度的过程,6为 login过程,7为用户过程,8为终止的过程等)。
2)过程ID。
3)缩写的终端设备名(如pts2等)。
4)/etc/inittab文件的id字段(保存字段)。
5)用户名。
6)远程系统名(远程注册时。
7)过程终止及出口状态。
8)时间记载(即过程或会话的起止运行时间)。
9)远程系统的IP地址。
与/ar/ og/lastlog日志文件不同,/var/log/wtmp文件记载的是用户的注册与工作状态,如注册访问方法(终端设备名、远程系统名或IP地址等)、注册会话的起止运行时间等。利用who命令可以查询当前注册的用户信息,而利用last命令可以查询wtmp文件记载的用户注册历史等信息。如果再应用1ast命令的-f”选项,指定 ar/log/wtmp.N作为输入文件(其中N是一个从1开端编号的数字),还可以查询早期的用户注册历史等信息。
