我想查看linux下的用戶登錄日志，包括用戶登錄時所用的主機的ip，在哪里可以查看。

1、連接上相應的linux主機，進入到等待輸入shell指令的linux命令行狀態下。

創新互聯建站長期為數千家客戶提供的網站建設服務，團隊從業經驗10年，關注不同地域、不同群體，并針對不同對象提供差異化的產品和服務；打造開放共贏平臺，與合作伙伴共同營造健康的互聯網生態環境。為巴中企業提供專業的成都網站設計、網站制作、外貿營銷網站建設，巴中網站改版等技術服務。擁有10年豐富建站經驗和眾多成功案例,為您定制開發。

2、在linux命令行下輸入shell指令：last -f /var/log/wtmp。

3、最后，按下回車鍵執行shell指令，此時會查詢到用戶登陸的日志。

如何查看所有的登錄日志 linux

1、linux下登錄日志記錄在：/var/log目錄里的 secure文件。

查看ssh用戶的登錄日志命令：cd /var/log more secure

上圖中可以看到，用戶在11:05:57和12:24:33進行了兩次登錄。

2、使用last命令，可以列出目前與過去登錄系統的用戶相關信息。這是一個功能很強大的命令。

語法：last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]

例子：last -x ：顯示系統關閉、用戶登錄和退出的歷史

last -i：顯示特定ip登錄的情況

last -t 20150303120101： 顯示20150303120101之前的登錄信息

Linux里面如何查看系統用戶登錄日志？

一、查看日志文件

Linux查看/var/log/wtmp文件查看可疑IP登陸

last -f /var/log/wtmp

該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決于系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數

二、 腳本生成所有登錄用戶的操作歷史

在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統后用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一臺服務器多人登陸，一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄（命令：history）是沒有什么意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什么辦法實現通過記錄登陸后的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。

通過在/etc/profile里面加入以下代碼就可以實現：

PS1="`whoami`@`hostname`:"'[$PWD]'

USER_IP=`who -u am i 2/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod 777 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H:%M:%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"

chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2/dev/null

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls

10.1.80.47 dbasky.2013-10-24_12:53:08

root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

Windows服務器遠程登錄日志查詢方法，linux查看登錄日志方法

概述

本文介紹Windows、Linux服務器查詢系統的遠程登錄日志方法。

根據服務器所使用的操作系統不同，有以下兩種查詢方法。

Linux操作系統的登錄日志查詢

通過遠程連接登錄Linux服務器，使用root用戶執行last命令，系統會列出最近的登錄記錄。

注：last命令各輸出列作用及含義。

· 第一列：用戶名。

· 第二列：終端位置。pts/0 （偽終端）指 ssh命令或telnet命令遠程連接用戶，tty指本地連接用戶。

· 第三列：登錄IP或者內核 。0.0或無內容，表示用戶從本地終端連接。除重啟操作，內核版本會顯示在狀態中。

· 第四列：開始時間。

· 第五列：結束時間（still logged in 狀態：用戶未退出，down 狀態：直到正常關機，crash 狀態：直到強制關機）。

· 第六列：持續時間。

Windows操作系統的登錄日志查詢

1、通過遠程連接登錄Windows服務器，單擊 開始 運行（快捷鍵：win+R），輸入eventvwr.msc并單擊鍵盤的 Enter 回車按鍵，打開 事件查看器。

2、單擊 Windows 日志，選中 安全 并右擊，單擊 查找，打開 查找 框。

3、在 查找內容（N） 處，輸入“登錄” 進行快速查找登錄相關事件。

4、雙擊查找到的事件，單擊 詳細信息，查看 IpAddress 字段和 IpPort 字段信息。

注：

· IpAddress 字段記錄的是登錄過本機的IP地址。

· IpPort 字段記錄的是登錄過本機的端口

Linux系統日志怎么查看

1. 前言

在Linux日常管理中，我們肯定有查看某些服務的日志需求，或者是系統本身的日志。本文主要介紹如何查看Linux的系統日志，包括文件的路徑、工具的使用等等。會看Linux日志是非常重要的，不僅在日常操作中可以迅速排錯，也可以快速的定位。

2. 如何查看Linux日志

Linux日志文件的路徑一般位于,/var/log/，比如ngix的日志路徑為/var/log/nginx/，如果要查看某服務的日志，還可以使用systemctl status xxx，比如查看ssh服務的壯態，systemctl status sshd

查看Linux某服務的日志

Liunx的配置文件在/etc/rsyslog.d里，可以看到如下信息

在linux系統當中，有三個主要的日志子系統：

1、連接時間日志：由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，

login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。

2、進程統計：由系統內核執行，當一個進程終止時，為每個進程往進程統計文件中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計

3、錯誤日志：由rsyslogd守護程序執行，各種系統守護進程、用戶程序和內核通過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序創建日志，像HTTP和FTP這樣提供的服務器也保持詳細的日志。

4、其他日志……

查看Linux日志默認路徑

可以看到在/var/log目錄下存在很多的日志文件，接下來就對里面的一些常用日志文件進行分析

主要日志文件介紹：

內核及公共消息日志:/var/log/messages

計劃任務日志：/var/log/cron

系統引導日志：/var/log/dmesg

郵件系統日志:/var/log/maillog

用戶登錄日志：/var/log/lastlog

/var/log/boot.log（記錄系統在引導過程中發生的時間）

/var/log/secure (用戶驗證相關的安全性事件)

/var/log/wtmp(當前登錄用戶詳細信息)

/var/log/btmp（記錄失敗的的記錄）

/var/run/utmp（用戶登錄、注銷及系統開、關等事件）

日志文件詳細介紹：

/var/log/secure

Linux系統安全日志，記錄用戶和工作組的情況、用戶登陸認證情況

例子：我創建了一個zcwyou的用戶，然后改變了該用戶的密碼，于是該信息就被記錄到該日志下

Linux系統安全日志默認路徑

該日志就詳細的記錄了我操作的過程。

內核及公共信息日志，是許多進程日志文件的匯總，從該文件中可以看出系統任何變化

查看Linux內核及公共信息日志

系統引導日志

該日志使用dmesg命令快速查看最后一次系統引導的引導日志

查看Linux系統系統引導日志

最近的用戶登錄事件，一般記錄最后一次的登錄事件

該日志不能用諸如cat、tail等查看，因為該日志里面是二進制文件，可以用lastlog命令查看，它根據UID排序顯示登錄名、端口號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示 Never logged。

該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。該日志為二進制文件，不能用諸如tail/cat/等命令，使用last命令查看。

記錄郵件的收發

此文件是記錄錯誤登錄的日志，可以記錄有人使用暴力破解ssh服務的日志。該文件用lastb打開

該日志記錄當前用戶登錄的情況，不會永久保存記錄。可以用who/w命令來查看

3. 常用的日志分析工具與使用方法

3.1 統計一個文本中包含字符個數

3.2 查看當天訪問排行前10的url

3.3 查看apache的進程數

3.4 訪問量前10的IP

cut部分表示取第1列即IP列，取第4列則為URL的訪問量

3.5 查看最耗時的頁面

按第2列響應時間逆序排序

3.6 使用grep查找文件中指定字符出現的次數

-o 指示grep顯示所有匹配的地方，并且每一個匹配單獨一行輸出。這樣只要統計輸出的行數就可以知道這個字符出現的次數了。

4. 總結

查看Linux日志需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日志和使用 Rsyslog 和 AWK 過濾等等，只要能掌握這些工具。我們才能高效地處理和定位故障點。