Linux日誌文件utmp、wtmp、lastlog、messages

        1、有關當前登錄用戶的信息記錄在文件utmp中；==who命令

　　2、登錄進入和退出紀錄在文件wtmp中；==w命令

　　3、最後一次登錄文件可以用lastlog命令察看；

　　4、messages======從syslog中記錄信息

　　注意：wtmp和utmp文件都是二進制文件，他們不能被諸如tail命令剪貼或合併（使用cat命令）。用戶

　　需要使用who、w、users、last和ac來使用這兩個文件包含的信息。

　　例子：
　　last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶

　　users用單獨的一行打印出當前登錄的用戶，每個顯示的用戶名對應一個登錄會話

　　w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息

　　who命令查詢utmp文件並報告當前登錄的每個用戶

　　ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結的時間（小時）

　　utmp文件，它記錄當前登錄進系統的各個用戶；

　　包含下列結構的一個二進制記錄寫入這兩個文件中：
　　struct utmp {
　　char ut_line[8]; /* tty line: "ttyh0", "ttyd0", "ttyp0", ... */
　　char ut_name[8]; /* login name */
　　long ut_time; /* seconds since Epoch */
　　};

　　登錄時，login程序填寫這樣一個結構，然後將其寫入到utmp文件中，同時也將其添寫到wtmp文件中。註銷時， init進程將utmp文件中相應的記錄擦除(每個字節都填以0 )，並將一個新記錄添寫到wtmp文件中。讀wtmp文件中的該註銷記錄，其ut_name字段清除爲0。在系統再啓動時，以及更改系統時間和日期的前後，都在wtmp文件中添寫特殊的記錄項。who( 1 )程序讀utmp文件，並以可讀格式打印其內容。後來的UNIX版本提供last( 1 )命令，它讀wtmp文件並打印所選擇的記錄。wtmp文件，它跟蹤各個登錄和註銷事件。

　　wted
　　wtmp/utmp日誌編輯程序。你可以使用這個工具編輯所有wtmp或者utmp類型的文件。

　　z2
　　utmp/wtmp/lastlog日誌清理工具。可以刪除utmp/wtmp/lastlog日誌文件中有關某個用戶名的所有條目。不過，如果用於Linux系統需要手工修改其源代碼，設置日誌文件的位置。