概述
本文介绍Windows、Linux服务器查询系统的远程登录日志方法。
根据服务器所使用的 *** 作系统不同,有以下两种查询方法。
Linux *** 作系统的登录日志查询
通过远程连接登录Linux服务器,使用root用户执行last命令,系统会列出最近的登录记录。
注:last命令各输出列作用及含义。
· 第一列:用户名。
· 第二列:终端位置。pts/0 (伪终端)指 ssh命令或telnet命令远程连接用户,tty指本地连接用户。
· 第三列:登录IP或者内核 。00或无内容,表示用户从本地终端连接。除重启 *** 作,内核版本会显示在状态中。
· 第四列:开始时间。
· 第五列:结束时间(still logged in 状态:用户未退出,down 状态:直到正常关机,crash 状态:直到强制关机)。
· 第六列:持续时间。
Windows *** 作系统的登录日志查询
1、通过远程连接登录Windows服务器,单击 开始 > 运行(快捷键:win+R),输入eventvwrmsc并单击键盘的 Enter 回车按键,打开 事件查看器。
2、单击 Windows 日志,选中 安全 并右击,单击 查找,打开 查找 框。
3、在 查找内容(N) 处,输入“登录” 进行快速查找登录相关事件。
4、双击查找到的事件,单击 详细信息,查看 IpAddress 字段和 IpPort 字段信息。
注:
· IpAddress 字段记录的是登录过本机的IP地址。
· IpPort 字段记录的是登录过本机的端口
双击打开Xshell,在打开的窗口中,点击左上角新建按钮,如下图
3
点击新建后,如下图,需要与自己的linux服务器建立远程链接,在连接中输入需要链接的服务器IP地址
4
通过cd命令,进入服务器日志文件所存放的目录,如小编的是log目录
5
进入log目录,找到需要监控的日志文件,如小编需要监控productionlog这个日志文件
登录
kbkiss
Linux查看日志常用命令
1查看日志常用命令
tail:
-n 是显示行号;相当于nl命令;例子如下:
tail -100f testlog 实时监控100行日志
tail -n 10 testlog 查询日志尾部最后10行的日志;
tail -n +10 testlog 查询10行之后的所有日志;
head:
跟tail是相反的,tail是看后多少行日志;例子如下:
head -n 10 testlog 查询日志文件中的头10行日志;
head -n -10 testlog 查询日志文件除了最后10行的其他所有日志;
cat:
tac是倒序查看,是cat单词反写;例子如下:
cat -n testlog |grep "debug" 查询关键字的日志
2 应用场景一:按行号查看---过滤出关键字附近的日志
1)cat -n testlog |grep "debug" 得到关键日志的行号
2)cat -n testlog |tail -n +92|head -n 20 选择关键字所在的中间一行 然后查看这个关键字前10行和后10行的日志:
tail -n +92表示查询92行之后的日志
head -n 20 则表示在前面的查询结果里再查前20条记录
3 应用场景二:根据日期查询日志
sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' testlog
特别说明:上面的两个日期必须是日志中打印出来的日志,否则无效;
先 grep '2014-12-17 16:17:20' testlog 来确定日志中是否有该 时间点
4应用场景三:日志内容特别多,打印在屏幕上不方便查看
(1)使用more和less命令,
如: cat -n testlog |grep "debug" |more 这样就分页打印了,通过点击空格键翻页
(2)使用 >xxxtxt 将其保存到文件中,到时可以拉下这个文件分析
如:cat -n testlog |grep "debug" >debugtxt
Linux日志文件存放在 /var/log/下的文件 utmp、wtmp、lastlog、messages1、有关当前登录用户的信息记录在文件utmp中;======who命令
2、登录进入和退出纪录在文件wtmp中;========w命令
3、最后一次登录文件可以用lastlog命令察看;
4、messages======从syslog中记录信息
注意:wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。
用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)