查看系統日誌命令

1. 查看linux系統日誌的命令

Linux系統日誌文件存放在/var/log下
/var/log/cron 記錄了系統定時任務相關的日誌；
/var/log/cups 記錄列印信息的日誌；
/var/log/dmesg 記錄了系統在開機時內核自檢的信息，也可以使用dmesg命令直接查看內核自檢信息。
/var/log/btmp 記錄錯誤登錄的日誌，這個文件是二進制文件，不能直接vi查看，而要使用lastb命令查看；
/var/log/lastlog 記錄系統中所有用戶最後一次的登錄時間的日誌。這個文件也是二進制文件，不能直接vi，而要使用lastlog命令查看。
/var/log/mailog 記錄郵件信息；

/var/log/message 記錄系統重要信息的日誌，記錄Linux系統的絕大多數重要信息，如果系統出現問題，首先要檢查的就是應該是這個日誌文件；
/var/log/secure 記錄驗證和授權方面的信息，只要涉及賬戶和密碼的程序都會記錄。比如說系統的登錄，ssh的登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼；
/var/log/wtmp 永久記錄所有用戶的登錄、注銷信息，同時記錄系統的啟動、重啟、關機事件。同樣這個文件也是一個二進制文件不能直接vi而需要使用last命令來查看；
/var/run/utmp 記錄當前已經登錄的用戶的信息。這個文件會隨著用戶的登錄和注銷而不斷變化，只記錄當前登錄用戶的信息，同樣這個文件不能直接vi，要使用w，who，users等命令；

2. Linux裡面如何查看系統用戶登錄日誌

一、查看日誌文件
Linux查看/var/log/wtmp文件查看可疑IP登陸

last -f /var/log/wtmp

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數

二、 腳本生成所有登錄用戶的操作歷史
在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一台伺服器多人登陸，一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄（命令：history）是沒有什麼意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什麼辦法實現通過記錄登陸後的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。

通過在/etc/profile裡面加入以下代碼就可以實現：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

3. 電腦日誌怎麼看

電腦日誌怎麼看，請看我來說明。

出於工作需要，除了自己的Mac筆記本，Wendy還配了一個Windows台式機。筆記本隨身攜帶倒沒什麼，但最近總覺得每次上班打開Windows台式機後跟前一天離開的時候不一樣！但到處問也不是太好，只有自己動手查。

好在不難，如果你剛好也有這種懷疑的話，趕快來和我一起實踐一下！看看究竟有沒有人偷偷登錄過我們的電腦。

正文：

我們都知道，電腦的任何活動都會留下痕跡的，這也是為什麼我們能進行計算機取證。今天就給大家分享一個簡單的方法，告訴你如何查看電腦的登錄情況。

1. 右鍵「我的電腦」，選擇管理，打開「事件查看器」；或者同時按下 Windows鍵 + R鍵，輸入「eventvwr.msc」直接打開「事件查看器」。

2. 在「事件查看器」窗口，展開電腦日誌，選擇「安全」，登錄日誌就顯示出來了。

3. 接下來你會在窗口中看到一個列表，包括 「關鍵字」、 「日期和時間」、「來源」、「事件ID」、「任務類別」。

每當用戶執行了某些操作，審核日誌就會記錄一個審核項，我們可以審核操作中的成功嘗試和失敗嘗試。

安全審核對於任何企業系統來說都極其重要，因為審核日誌能記錄是否發生了違反安全的事件。如果檢測到入侵，正確的審核設置所生成的審核日誌則能包含有關入侵的重要信息。

我們看到，任務欄裡面能展示許多時間有關信息：登錄時間、退出時間以及其他等等細節。

4. 篩選「事件ID」。在窗口的右欄里有篩選器，我們可以根據自己的情況有目的地篩選日誌記錄。

在我的情況中，需要篩選的事件ID是「4624」，這個ID表示成功登陸。

在日誌中，不同的登錄情況有不同的事件ID編號，如「4672」表示有特殊許可權的登錄，這些編號是有規定的，大家自己可以去查查看哦。

5. 查看某一條登陸記錄的詳細信息。

4. 怎麼查看電腦日誌

方法/步驟
點擊』開始菜單『，然後點擊』控制面板『。

1、在打開的控制面板當中，以』類別『方式來查看時，點擊系統和安全；
2、在』系統和安全『面板中找到』管理工具『，點擊下面的』查看事件日誌『，就可以打開』事件查看器『了。
也可以通過dos命令來打開』事件查看器『：按下組合鍵win+r,然後輸入』eventvwr.exe『,然後回車就可以打開了。
在打開的』事件查看器『面板中，點擊左側的』Windows日誌『，可以看到有』應用程序、安全、setup、系統等『可以在這里查看自己需要看的信息。
1、如：我要查看系統的 開關機，則點擊右側的』篩選當前日誌...『然後輸入 6005,6006，點擊確定，則可以查到到系統的開關機時間。
2、也可以清除日誌、清除篩選器等。

5. 如何查看windows系統日誌

查看windows系統日誌的具體操作步驟如下：

以Windows7電腦為例：

1、首先打開電腦左下角開始菜單，點擊「控制面板」選項。

6. win7怎樣通過DOS命令查看計算機日誌文件

1、點擊桌面左下角的【開始】按鈕，找到【搜索程序和文件】輸入框。

7. 查看和列印日誌的linux命令

Linux系統日誌文件存放在/var/log下
/var/log/cron 記錄了系統定時任務相關的日誌；
/var/log/cups 記錄列印信息的日誌；
/var/log/dmesg 記錄了系統在開機時內核自檢的信息，也可以使用dmesg命令直接查看內核自檢信息。
/var/log/btmp 記錄錯誤登錄的日誌，這個文件是二進制文件，不能直接vi查看，而要使用lastb命令查看；
/var/log/lastlog 記錄系統中所有用戶最後一次的登錄時間的日誌。這個文件也是二進制文件，不能直接vi，而要使用lastlog命令查看。
/var/log/mailog 記錄郵件信息；

/var/log/message 記錄系統重要信息的日誌，記錄Linux系統的絕大多數重要信息，如果系統出現問題，首先要檢查的就是應該是這個日誌文件；
/var/log/secure 記錄驗證和授權方面的信息，只要涉及賬戶和密碼的程序都會記錄。比如說系統的登錄，ssh的登錄，su切換用戶，sudo授權，甚至添加用戶和修改用戶密碼；
/var/log/wtmp 永久記錄所有用戶的登錄、注銷信息，同時記錄系統的啟動、重啟、關機事件。同樣這個文件也是一個二進制文件不能直接vi而需要使用last命令來查看；
/var/run/utmp 記錄當前已經登錄的用戶的信息。這個文件會隨著用戶的登錄和注銷而不斷變化，只記錄當前登錄用戶的信息，同樣這個文件不能直接vi，要使用w，who，users等命令；

8. 怎麼查看系統日誌，系統日誌怎麼查看

查看Win7開關機日誌的方法：1. 按Ctrl+D鍵返回windows7桌面，在「計算機」圖標上點右擊，選擇彈出菜單中的「管理」命令;
2. 在打開的「計算機管理」窗口左側，依次展開「事件查看器」、「Windows日誌」、「系統」：

3. 如果你的系統日誌較多，在點擊「系統」後窗口會卡住，沒有關系，稍等既可;
4. 然後點擊右側「操作」下的的「篩選當前日誌」鏈接，如上圖;
5. 在打開的對話框里，「事件來源」處選擇「Kernel-liower」：

6. 然後在「任務類別」列表選擇「86」(開機)和「103」(關機)兩項如上圖;
7. 當然，你也可以不選擇，就是查看所有的與電源操作相關的事件了，比待機、休眠等;
8. 然後單擊「確定」按鈕既可。

9. linux查看日誌的命令是具體怎麼用

tail -f 日誌文件路徑主要用於查看實時的日誌記錄，屬於動態記錄查看。

cat日誌路徑主要用於查看靜態的歷史日誌記錄，一般跟路徑名稱，常見的這周類型的日誌記錄一般用管道符進行過濾篩選自己所需的記錄。

dmesg主要用於調試腳本或者命令，出現異常中斷來排查錯誤原因顯示的。

tail -n 10 test.log，查詢日誌尾部最後10行的日誌。

tail -n +10 test.log，查詢10行之後的所有日誌。

head -n 10 test.log，查詢日誌文件中的頭10行日誌。

head -n -10 test.log，查詢日誌文件除了最後10行的其他所有日誌。

操作命令

首先介紹一個名詞「控制台（console）」，它就是我們通常見到的使用字元操作界面的人機介面，例如dos。我們說控制台命令，就是指通過字元界面輸入的可以操作系統的命令。

例如dos命令就是控制台命令。要了解的是基於Linux操作系統的基本控制台命令。有一點一定要注意，和dos命令不同的是，Linux的命令（也包括文件名等等）對大小寫是敏感的，也就是說，如果你輸入的命令大小寫不對的話，系統是不會做出你期望的響應的。

10. 怎麼查看windows系統日誌

查看Win7開關機日誌的方法：1. 按Ctrl+D鍵返回windows7桌面，在「計算機」圖標上點右擊，選擇彈出菜單中的「管理」命令; 2. 在打開的「計算機管理」窗口左側，依次「事件查看器」、「Windows日誌」、「系統」： 3. 如果你的系統日誌較多，在點擊「系統」後窗口會卡住，沒有關系，稍等既可; 4. 然後點擊右側「操作」下的的「篩選當前日誌」鏈接，如上圖; 5. 在打開的對話框里，「事件來源」處選擇「Kernel-liower」： 6. 然後在「任務類別」列表選擇「86」(開機)和「103」(關機)兩項如上圖; 7. 當然，你也可以不選擇，就是查看所有的與電源操作相關的事件了，比待機、休眠等; 8. 然後單擊「確定」按鈕既可。