目录 隐藏目录
w指令详解
功能
用途
语法
last指令详解
功能
用法
输出结果的解读
常见使用场景
注意事项

w指令详解

w 是一个在 UNIX 和 Linux 操作系统中常用的命令,用于显示系统中当前登录的用户以及他们正在做什么。该命令提供了关于系统活动、用户、登录时间、空闲时间等的详细信息。

功能

w 命令的主要功能是显示关于当前系统活动以及哪些用户登录了系统的信息。这些信息对于系统管理员特别有用,因为它可以帮助他们了解系统的使用情况以及识别任何可能的滥用或异常行为。

用途

w 命令的主要用途包括:

系统监控:查看哪些用户正在系统上工作以及他们正在做什么。
性能分析:通过查看用户的空闲时间、系统负载等信息,帮助分析系统性能。
安全性:监控异常的用户行为,如长时间无活动的用户会话等。

语法

w 命令的基本语法很简单,只需在终端中输入 w 并按回车键即可。但 w 命令也接受一些可选参数来定制输出。

w [OPTION]... [USER]...

参数
-h:不显示标题行。
-u:显示用户的详细信息,包括登录时间和终端类型。
-s:显示简短的输出,只显示用户名、终端、远程主机、登录时间和空闲时间。
-f:显示完整的命令行。
USER:如果指定了用户名,则只显示该用户的信息。

使用示例

1.显示所有用户的信息:

w

以下是 w 命令输出的详细解释:

1. 系统运行时间:
– 显示自上次启动以来的系统运行时间,例如 01:48:49 up 17 min 表示系统已经运行了 1 小时 48 分钟,并且已经上线 17 分钟。

2. 用户数量:
– 显示当前登录系统的用户数量,例如 2 users 表示有 2 个用户登录。

3. 负载平均:
– 显示过去 1 分钟、5 分钟和 15 分钟的平均系统负载。负载平均值是衡量系统负载的指标,反映了系统处理任务的能力。例如 load average: 0.19, 0.20, 0.12 表示过去 1 分钟的平均负载是 0.19,过去 5 分钟的平均负载是 0.20,过去 15 分钟的平均负载是 0.12。

4. 用户活动列表:
– 列表显示每个用户的详细信息,包括:
– USER:用户的用户名。
– TTY:用户登录的终端类型。例如,pts/0 表示远程终端会话。
– FROM:用户登录的远程主机地址,需要使用参数-f。
– LOGIN@:用户登录的时间。
– IDLE:用户自上次活动以来的空闲时间。?? 表示无法确定空闲时间。
– JCPU:用户进程占用的 CPU 时间(以分钟:秒的格式)。
– PCPU:进程占用的 CPU 时间(以分钟:秒的格式)。
– WHAT:用户当前正在执行的命令或活动。如果用户正在编辑文件,通常会显示编辑器和文件名。

2. 显示特定用户的信息:

w username

将只显示指定用户名的用户的信息。

3. 显示简短的输出:

w -s

这将只显示用户名、终端、登录时间和空闲时间,输出更加简洁。

last指令详解

在Linux系统中,last是一个常用的命令,用于显示系统中所有用户的登录历史记录。通过last命令,管理员可以了解哪些用户在何时登录系统,以及他们使用了哪些终端或远程主机。这对于系统审计、安全性检查或用户行为分析都很有用。

功能

last命令的主要功能是显示系统上的登录记录。它读取/var/log/wtmp文件(在某些系统上可能是/var/log/utmp或/var/run/utmp),该文件记录了所有用户的登录和退出事件。

用法

基本用法非常简单,只需在终端中输入last即可。

last

参数选项

last命令接受多个选项来定制输出:

-a:显示所有用户的登录记录,包括失败的登录尝试。
-f:显示完整的登录时间,包括年、月、日、时、分。
-n NUM:显示最近的NUM次登录记录。
-R:不显示远程主机名。
-x:显示系统重启记录。
-u:显示用户登录的终端和来源IP。
-p:显示用户登录的终端。
-i:显示用户登录的来源IP。
-t TTY:仅显示指定TTY上的登录记录。
USERNAME:仅显示指定用户的登录记录。

输出结果的解读

last命令的输出通常包括以下列:

用户名:登录系统的用户名。
终端:用户使用的登录终端。
来源IP:如果是远程登录,显示来源IP地址。
登录时间:用户登录系统的时间。
退出时间:用户退出系统的时间(如果已退出)。
登录时长:用户登录系统的时长(如果未退出,则显示仍在登录中)。

常见使用场景

系统审计:管理员可以使用last命令来查看用户是否在其声称的时间段内登录了系统。
安全检查:通过last命令,管理员可以识别是否有未经授权的登录尝试或异常登录行为。
用户行为分析:通过查看用户的登录历史,管理员可以了解用户的行为模式,例如他们何时登录、登录时长等。

注意事项

/var/log/wtmp文件是last命令的数据来源,因此要确保该文件在系统中存在且可读。在某些情况下,该文件可能会被定期清理或压缩。
由于last命令依赖于系统日志,因此如果系统被恶意篡改或日志被删除,last命令的输出可能不准确。

对于大型系统或繁忙的系统,/var/log/wtmp文件可能会变得非常大,使用last命令时可能需要一些时间来处理和分析数据。
在使用last命令时,管理员应确保有足够的权限来访问和读取系统日志。通常,只有root用户或具有适当权限的用户才能执行此命令。