🐧 Какова цель файлов utmp, wtmp и btmp на Linux — Information Security Squad
🐧 Какова цель файлов utmp, wtmp и btmp на Linux
В системе Linux все записывается в файлы логов в каталоге /var/log.
Этот каталог содержит логи, связанные с различными сервисами и приложениями.
В этом каталоге у нас есть несколько файлов, таких как utmp, wtmp и btmp.
В отличие от файлов syslog и файлов auth.log, все эти файлы являются двоичными файлами (бинарники).
Таким образом, мы не можем использовать наши обычные текстовые инструменты, такие как less или grep, чтобы читать их или извлекать из них информацию.
Вместо этого мы будем использовать некоторые специальные инструменты, которые могут читать эти двоичные файлы.
  • utmp предоставляет вам полное представление о входе пользователей в систему, в каких терминалах, выходах из системы, системных событиях и текущем состоянии системы, времени загрузки системы (используется uptime) и т. д.
  • wtmp предоставляет исторические данные utmp.
  • btmp записывает только неудачные попытки входа в систему.

Команды w и who

Команды w и who извлекают информацию о том, кто вошел в систему и что они делают, из файла /var/run/utmp.

Если вы хотите увидеть список пользователей, которые в данный момент вошли в систему, используйте who:

$ who
geek    console  Jul  1 23:27
geek    ttys000  Jul  7 13:13
geek    ttys001  Jul 18 18:34

Команда last

Команда last предоставляет информацию о том, как пользователи вошли в систему, когда они вошли в систему, когда они вышли из системы, и т.д. :

# last

Мы также можем использовать команду last для чтения содержимого файлов wtmp, utmp и btmp.

Например:

# last -f /var/log/wtmp    ### 
# last -f /var/run/utmp    ### 
# last -f /var/log/btmp    ### 

Команда lastb

Вы можете просмотреть текущую историю зарегистрированных сеансов, содержащихся в /var/run/btmp, набрав:
# lastb

Команда utmpdump

Теперь, учитывая, что двоичные файлы нельзя просматривать с помощью базовых команд чтения, таких как cat, less и more, и в тоже время не просто полагаться на базовые команды, такие как last, who, lastb и другие, другой подход заключается в использовании команды utmpdump:

# utmpdump /path/to/binary

Поэтому, если вы хотите прочитать содержимое двоичных файлов wtmp, utmp или btmp, используйте команду:

# utmpdump /var/run/utmp
# utmpdump /var/log/wtmp
# utmpdump /var/log/btmp

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *