在linux中有5个用于审计的命令：

last：这个命令可用于查看我们系统的成功登录、关机、重启等情况；这个命令就是将/var/log/wtmp文件格式化输出。
lastb：这个命令用于查看登录失败的情况；这个命令就是将/var/log/btmp文件格式化输出。

lastlog：

这个命令用于查看用户上一次的登录情况；这个命令就是将/var/log/lastlog文件格式化输出。
who：这个命令用户查看当前登录系统的情况；这个命令就是将/var/log/utmp文件格式化输出。
w：

与who命令一致。

关于它们的使用：man last，last与lastb命令使用方法类似：

bash/shell Code

复制内容到剪贴板

1. last [-R] [-num] [ -n num ] [-adFiowx] [ -f 

   file

    ] [ -t YYYYMMDDHHMMSS ] [name...]  [

   tty

   ...]   

2. lastb [-R] [-num] [ -n num ] [ -f 

   file

    ] [-adFiowx] [name...]  [

   tty

   ...]   

3. who

    [OPTION]... [ FILE | ARG1 ARG2 ]  

   

参数说明：

查看系统登录情况last：不带任何参数，显示系统的登录以及重启情况p1

只针对关机/重启使用-x参数可以针对不同的情况进行查看p2

只针对登录使用-d参数，并且参数后不用跟任何选项p3

显示错误的登录信息lastb

查看当前登录情况who、w

二、 日志查看

在Linux系统中，有三类主要的日志子系统:

1、连接时间日志:

 由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。（utmp、wtmp日志文件是多数Linux日志子系统的关键，它保存了用户登录进入和退出的记录。有关当前登录用户的信息记录在文件utmp中; 登录进入和退出记录在文件wtmp中; 数据交换、关机以及重启的机器信息也都记录在wtmp文件中。所有的记录都包含时间戳。）

2、进程统计:

 由系统内核执行，当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计。

3、错误日志:

 由syslogd（8）守护程序执行，各种系统守护进程、用户程序和内核通过syslogd（3）守护程序向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。