Linux日志-wtmp日志

作者介绍：简历上没有一个精通的运维工程师。希望大家多多关注作者，下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

Linux 系统中的日志是记录系统活动和事件的重要工具，它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志，登录日志，定时任务日志，监控日志，崩溃日志，二进制日志等内容，这些日志都存储在/var/log目录下，有的日志文本格式，可以直接使用前面学到的tail cat 等命令分析，有的日志是二进制格式需要专门的命令才能解释，比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。

1.Linux日志-message日志

2.Linux日志-secure日志

3.Linux日志-btmp日志

4.Linux日志-wtmp日志(本章节)

5.Linux日志-lastlog日志

6.Linux日志-cron日志

7.Linux日志-sar日志

8.Linux日志-journal日志

9.Linux日志-dmesg日志

10.Linux日志-kdump日志

11.Linux日志-日志小结

上一小节，我们讲Linux的btmp日志，下面我们接着讲Linux的其他日志内容。

在Linux系统中，wtmp 日志是系统日志的一部分，它主要用于记录系统的登录和注销等相关信息。这个刚好和btmp相对应，一个记录失败，一个记录成功。

记录登录和注销时间：它准确地记录了用户登录到系统的时间以及注销的时间。这对于跟踪用户的活动时间以及系统的使用情况非常重要。例如，管理员可以通过查看 wtmp 日志来确定某个用户在特定时间段内的登录时长，从而了解用户对系统资源的使用情况。
记录用户身份信息：wtmp 日志会记录登录用户的用户名等身份信息。这有助于管理员识别哪些用户在何时访问了系统。在多用户环境中，如果出现了系统问题或安全事件，通过查看 wtmp 日志可以快速确定当时登录的用户，以便进一步调查相关情况。
记录登录终端和来源信息：它还可能记录用户登录的终端设备（如本地终端、远程登录的终端类型等）以及登录的来源 IP 地址（如果是远程登录）。这对于了解用户的登录方式和位置很有帮助。例如，如果发现某个用户经常从不同的 IP 地址登录，可能需要进一步核实该用户的身份和活动是否正常。

日志基本信息

日志路径：/var/log/wtmp
日志格式: 二进制格式
查看方法：使用专用命令last

[root@iZ2vci40gfjzarlead7vliZ log]# last
root     pts/0        182.151.182.92   Wed Aug  7 23:14   still logged in   
root     pts/1        221.237.228.168  Tue Aug  6 15:01 - 17:31  (02:30)       
root     pts/0        221.237.228.168  Thu Jul 18 15:43 - 17:31  (01:47)    
reboot   system boot  3.10.0-1127.19.1 Thu Jul 18 23:43 - 23:29 (19+23:46)  
root     pts/0        221.237.228.168  Thu Jul 18 15:41 - down   (00:00)    
root     pts/0        221.237.228.168  Tue Jul 16 12:46 - 15:57  (03:10)