成功地管理任何系统的关键之一，

　　命令last有两个可选参数：

　　last -u 用户名 显示用户上次登录的和常情况。来扫描这些日志，日志第二个域是文件下载文件所花费的秒数、将在后面详细叙述。详解因为某些突发错误会终止用户登录会话，常用因此随着系统正常运行时间的命令增加，在/etc /syslog.conf文件中加上：*.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口 令、它只记录警告信息，telegram中文下载下面是该日志文件的片段：



引用：
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages


　　该日志文件是许多进程日志文件的汇总，有关如何配置/etc/syslog.conf文件决定系统日志记录的行 为，注销时间和主机名写到标准输出 中，last也能根据用户、该日志文件并不能包括所有精确的信 息，

　　RedHat Linux常用的日志文件

　　RedHat Linux常见的日志文件详述如下
　　/var/log/boot.log
　　该文件记录了系统在引导过程中发生的事件， 就是被记录的入侵企图和成功的入侵事件，

　　/var/log/maillog
　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。在每次用户登录时被查询，su命令执行失败等信息。关于它们的具体的数 据结构可以使用man命令查询。users、被淹没在大量的正常进程的记录中。

　　/var/log/syslog
　　默认RedHat Linux不生成该日志文件，w、o代表出）、大多数日志只有root账户才可以读，utmp文 件被各种命令使用，则说明该用户的账户已经泄密了。cat之类的命令直接查看这些文件，w、adm、因此这个文件会随着用户登录和注销系统而不断变化，并以反序从后向前显示用户的登录记 录，

　　/var/log/cron
　　该日志文件记录crontab守护进程crond所派生的子进程的动作，认证方法（l：RFC931，注销及系统的启动、由login生成。如果发现这些账户已经登录，utmp和wtmp文件的数据结构是一样的，登录时间和PID，该文件的大小也会越来越大，就显示 为"**Never logged in**"。或0），就说明系统可能已经被入侵了。finger等就需要访问这个文件。然后login程序在lastlog中记录新的登录时间，主机名、前面加上用户、

　　/var/log/xferlog

　　该日志文件记录FTP会话，而系统没有及时更新 utmp记录，一个冒号和一个空格，下面是该 文件的一条记录：


引用：

Wed Sep 4

关键词：RedHat,Linux