04 -常用命令/37 -常用命令-痕迹命令

大家好，欢迎大家继续收看上微谷的云计算课程，我是沈涛老师。这节课我们来学习一组叫做痕迹命令这个名字啊，新编的啊，这些东西都是自己编的，其实什么叫痕迹命令啊，我们有一些日志。系统中有一些重要的系统日志，这些日志你如果用编辑器打开。你会发现这哥们是乱码，我们试试，随便找一个就第一个吧，往下唠个像W。下log下的WTP。你会发现这里边儿是二进制，你用编辑器是没有办法直接操作。那为什么是这些文件不能直接操作呢？原因这里面保存的是一些重要的系统和登录痕迹，比如说登录时间、退出时间，系统的错误是信息等等这些信息。如果这样的信息你直接打开编辑器你就能够更改，那我问你这里面记录的东西还准吗？

它是不是就不够准确了。没错吧，所以各位像这样的日志是没有办法直接通过编辑器来查看的，那怎么办？它需要通过对应的命令，通过我们下面讲的这些命令才能查看，当然不能修改。这是系统给我们准备的重要的这种防范入侵的这样的一些文件，比如说他登录之后，它一定会有一些痕迹流落在这里面，我们通过病就能看到，这样的话会让你的系统安全性会有一定的会有大的提升，OK，那好，那知道了这个命令是什么，我们一个一个来看，其实。这些命令本身都很简单，唯一的问题就是这些命令的输出内容比较多，我们可能需要你们来能看懂，或者说这些内容你得大概背一下。第一个就是W前面我们见过了对吧，它显示的是我当前所有登录的用户的信息，它查询的是下的wrong下的U7MP这样一个痕迹日志，各位这些常见痕迹是赤的名字，可能是需要背一下，但是哪个对应的哪个，这个倒也不强求，你就知道就行，就是说这些日志你不要误删了，再一个呢，这些日志不能没爱看啊，哪一个对应哪一个，其实我说心里话，大多数人包括我在内也背不下来，你就把这些名知道就行了啊，那这对应的是这个，那W我们前面见过了干嘛的？

我们是不是就是。查看系统用户登录信息的，他登录了多少人对不对，那这里面看到的是什么？我们解释一下，先来解释第一行的内容过来第一行首先是系统时间。这是我当前系统的时间，系统到现在为止开机了多长时间？开机了13个小时，11分钟没有重启过。那如果这块超过1000，它就会显示什么，比如说十对四，然后多少小时就多少天，哎，能看到你开机的时间，那么这里啊，我写到这了啊，啊这块可以啊从这里。

这样粘过来了可以啊，然后系统当前登录了几个用户，来三个用户对吧，然后系统在一分钟前，五分钟前，15分钟之前的一个平均负载。叫做平均负载。什么叫平均负载？你可以这样理解是吧？看我们WINDOWS67这个任务栏，可以选择任务管理器，那这里是不是可以看到我的这样一个压力负载的情况，但是他只能看到从当前往后发生的情况，而看不到前面的。对吧，那我们的Linux呢，能看在什么前一分钟或者前五分钟，前15分钟的这样一个情况，能看在前一段时间一小段时间这个压力的个情况。那这个值是用来判断你的系统在之前这15分钟，你的系统压力有没有过高的这样一个情况，那多少这个算高呢？各位我说。

这个值是一个经验值。也就是说，我不能给你一个明确的值，说它多少算高，那我们一般的建议是你不能超过这个数，不能超过CPU的核心数，比如说你觉得CPU是单单核，这个数超过一就是一个高压力。那比如说你是四核的，比如说我这里啊，我的CPU现在是我是这个I7的，我们用的应该是这个，我应该是三代I7还是四代I7记不清了，那应该是四核八线程，也就是说你可以理解为是八个单独的CPU是在这里对吧？那那对我的如果是拿我真实机来装Linux的话，这个值就不应该超过八。否则这个值就是一个高压力，高压力值，但是我说这是个经验值，它的真正情况应该是这样的，比如说。我发现我的服务器现在比较卡，我登进去我看这个值达到了八，然后我现在系统一查，我的CPU内存占有率都超过了，哎，对了，CPU和内存啊。

CPU和内存，我们占有率有一个原则指的是七零。九零原则，也就是说CPU的占有率不应该超过70%，内存的占有率不该超过90%，否则你的计算机就有风险，你的服务器就有死机的风险，OK，那比如说我这里说，我这里一查，我是八。然后呢，我一看，我登进去一看，我的CPU和这个内存都达到极限了，就证明这个八这个值可能对我来讲，就是对我这台服务器来讲就是极限值。但是呢，比如说我的服务器性能好，我一查我这块是八，然后呢，我登录到系统之后，我一看SCPU这个内存都在安全值以下，而且系统很流畅，没有问题，那么这个八就是我颗粒接受的范围，所以我说这是一个经验值，需要你在你真实的真正的工作生产服务器上自己来观测一段时间，判断你的服务器的这样一个合理压力值。

OK，那为什么说超高不观测啊？咱们现在没法观测，为啥？虚拟机最大的问题，或者说上课最大的问题是什么？我很难给你找到真实的访问量。哎，各位，我能帮你干嘛？买服务器，大集群做实验都行，但是你说人。淘宝双11。今年双11说是这个，这个都是几百个亿，五六百个亿，七八百个亿的这样的突破，一分政策就十几秒，几秒钟就突破，突破100个亿了，不到一分钟突破200个亿了，我问你，当然他说的是交易额，但是我问你，我们在虚拟机上或者我们上课，我到哪给你找这么多访问量。这个事儿就很麻烦，所以这些事儿我们就是经验的方式告诉大家，在你的实际服务器上再测一下，注意这个事儿，这是第一行的内容。那后面的内容就是一样的了，这些东西是什么？比如说登录的用户登录了终端来源IP对吧，后面这几个值是你当前这个CPU的一些占用值，比如说可以看到的是。

这是登录的时间，用户的闲置时间，你的这个当前进程占用的CPU时间，还有这个当前占用占用的这是所有进程，这是当前进程，好了，这个时间其实我说可能一般情况下是不需要看的。大家知道，就对着我这个文档能看懂就行了，最后这个位就是他当前正在干什么。那我说了，像W这样的一回车瞬间就会执行完毕，所以绝大多数的用户都是这个杠被式，这是啥意思？这是说你的这个用户正在登录了你的Linux系统的卫士当中，他在等待，啥也没干啊。大多数都应该是这样的，而。只有你自己是刚好正在执行W，所以谁是W，谁就是你自己，通过它来判断谁是你。

好各位，我这里加了详细的这个说明对吧，所以你现在要做的事是什么，我就说这个命令本身非常简单。但是他的输出内容比较复杂，你要做的事是能看懂，尽量脱离我的文档就能看懂，这是什么？就行了，这是第一个名字，W。第二个命令叫做who，它查询的依然是这个望向望向的u tmp，这两个命令类似，都是查询正在登录的用户区别。互命令，看到的内容更简单。用户名。登录了终端，登录的时间，登录的IP啊更简单W信息更复杂，户更简单啊，但是作用一样，有三个用户登录。好。再一个last。他查看的是哇下的log下的WTP，这是一个重要的系统痕迹日志，这个东西看到的是什么？所有登录的用户信息，包括正在登录的和之前登录的信息，包括系统的重启时间都能看到。

哎，这里看啊，这些用户是你看。用户名登录终端登录IP，登录的时间，退出时间，登录了多长时间，四个小时，41分钟，这里是对吧，而上面这些用户来看still。这些用户还在等，没有退出去，这就是last，查看所有用户登录时间，包括这个重启时间，那我们可以看一下。Last。哎，我的系统刚恢复完快照，所以信息量很少，但是也能看到重启时间，然后登录的时间，退出的时间，这两个用户依然在登录，对吧？哎，这是last啊，那这个时候如果有人偷偷摸摸登录了你的系统，Last的时候就可以看到，哪怕他已经退出了，我是不是也能看到，对吧？还有一个叫做last log命令，他查询的是哇下log下的last log这个痕迹文件，那这个东西是查看系统中所有用户的最后一次登录时，哎，这个不一样，上面是查看的是你只有登录我，我才记录那last log的是什么啊。

系统中总共有这么多用户。那登录的用户记录一下登录时间，没有登录的用户也告诉你，这些用户从来没登录，各位这些用户是系统重要的系统用户，我们也把它叫做伪用户。为也就是假的用户，那为什么说假的？因为这些用户是不能登录的，但是这些用户就能删吗？目前啊，这些用户是用来启动Linux上对应的服务和程序，如果你把这些用户删了。删一个这个对应的服务就起不来，全删了系统就肯定崩溃了，所以各位这些系统Linux当中准备了大量的系统用户，这些用户是不允许登了，正常的，但是你也不能删，能登的就只有谁root，还有就是你自己新建的这些普通用户能登录啊，那这就是last lock的作用，它是查询所有用户的登录时间的最后一次登录时间。

Last是查询的是系统中登录过的用户的信息啊，只有登录了才会记录对吧。好，这是last long，各位。这几个命令都不难，但是它的输出内容比较多，要能看懂，文档上我全部都给你们加了中注释的，OK，好，这是拉，那最后一个呢，Last，这个last TB last b有没有？其实它的作用就是查询错误登录什么意思？有人用root登录，结果呢，没输对密码，然后被系统拒绝了，能看到拉斯B，那我这里系统可能没有啊。啊，还是有的，有人UC登录的时候，然后呢，从哪个IP登录，几点几分登录没登进来，为啥密码输错了，这都是错误登录信息，哎，Last b那这个查询的是这个痕迹，支持瓦下log下的BTPOK。

好，那这节课呢，我们讲了几个重要的痕迹日志。那各位，这些痕迹日志都是重要的帮助手段，这些文件都是不允许你直接手工打开看原因。如果能看就能改，这样的话是不是就不准确了，那这些东西日志都只能通过对应的这些命令来查询，只能查，而且还不能改。这是为了保证系统安全的，那这些命令都非常简单，但是它的输出的内容比较多，你们前期看着文档要能看懂，后面呢尽量的就脱离文档，大概能看懂这是什么，这样的话工作中才能用到，当然这都是重要的保护系统安全的命令，这些命令肯定是需要熟练记忆的，好这就是这节课的作用，这个内容我们下节课再见。