如何查看varadmwtmp文件的内容

debian:/var/log# last

debian pts/9221.215.176.148 Thu Oct 17 10:15 still logged in

debian pts/8221.215.176.148 Thu Oct 17 09:56 still logged in

debian pts/7221.215.176.148 Thu Oct 17 09:32 - 10:44 （01:12）

root pts/5114.255.31.253 Thu Oct 17 09:30 - 10:20 （仿闹00:50）

root pts/4114.255.31.253 Thu Oct 17 09:30 - 10:20 （00:50）

…

或者用last -f /var/log/wtmp

last 命令：

功能说明：列出目前与过去登入系统的用户相关信息。

语法：last [-adRx][-f ][-n ][帐号名称…][终端机编号…]

补充说明：单独执行last指令，它会读取位于/var/log目录下，名称为wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来。

参数：

-a 　把从何处登入系统的让大液主机名称或IP地址，显示在最后一行。

-d 　将IP地址转换成主机名称。

-f 　指定记录文件。

-n 或- 　设置列出名单的显示列数。

-R 　不显示登入系统的主机名称或IP地址。

-x 　显示系坦物统关机，重新开机，以及执行等级的改变等信息。

1、/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等。

2、/var/log/boot.log — 包含系统启动时的日志。

3、/var/log/daemon.log — 包含各种系统后台守护进程日志信息。

4、/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。

5、/var/log/user.log — 记录所有等级用户信息的日志。

6、/var/log/btmp – 记录所有失败登录信芹物悄息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

7、/var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。

8、/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里。

9、/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

10、/var/log/faillog – 包含用户登录失败信息。此蚂拍外，错误登录命令也会记录在本嫌渣文件中。

1、查找关键日志grep（过滤器）

规则：grep [选项]...模式 [文件]...（模式是正则表达式）

2、精简日志内容 sed （修改器）

1）sed [-n][-e] '命令' 文件

-n选项是默认不输出信息，除非使用了p命令或者是s命令的p标志符；-e是表明空格后面接的是一个命令。

2）sed [-n] -f 脚本 文件

这个用法是把命令写在脚本里。

3、对记录进行排序 sort

4、统计日志相关记录数 awk