linux下怎么查看ssh的用户登录日志？

ssh用户的登录日志主要是wtmp和utmp这2个文件，分别位于/var/log/目录和/var/run目录，都是二进制文件，因此不能直接使用cat、tail等命令进行查看，需要使用who、w、users和last这4个命令进行查看，下面我简单介绍一下如何使用这4个命令来查看ssh用户登录日志：

who

这个命令主要用于列出当前已登录Linux系统的用户，如下，输出依次为用户名、tty号、登录时间以及远程连接主机IP：

如果指明了wtmp文件，则who命令会列出以前所有登录记录，如下，从上到下，时间越来越近，第一行为第一次登陆，最后一行为最后一次登陆：

w

这也是一个用于显示当前已登录Linux系统用户的命令，主要用于查看utmp文件，相比较who命令来说，它输出的信息更详细，如下，包括用户名、tty号、远程连接地址、登陆时间、空闲时间以及当前用户正在做的事（执行的命令）等：

users

这个命令也主要用于显示出当前已登录Linux系统的用户，一个会话对应一个用户，如果一个用户有多次会话，那么就会显示多次，如下：

last

这个命令主要用于显示最近曾登录Linux系统的用户，从上到下时间越来越久远，最近的会显示在最上面，最远的会显示在最下面，针对wtmp文件，如下，输出依次为用户名称、tty设备号、远程链接地址、登录时间、登出时间等，如果状态一直为still，则说明当前用户正在使用Linux系统：

至此，我们就完成了使用who、w、users和last这4个命令来查看ssh用户登录日志。总的来说，整个过程非常简单，只要你有一定的Linux基础，熟悉一下上面的命令和说明，很快就能掌握的，可以参考一下这个文章https://blog.csdn.net/kingwolfs/article/details/84481927，介绍的非常详细，希望以上分享的内容能对你有所帮助吧，也欢迎大家评论、留言进行补充。

linux查询命令？

1. find

find是最常见和最强大的查找命令，你可以用它找到任何你想找的文件。

2. locate

locate命令其实是"find -name"的另一种写法，但是要比后者快得多，原因在于它不搜索具体目录，而是搜索一个数据库。

3. whereis

whereis命令只能用于程序名的搜索，而且只搜索二进制文件（参数-b）、man说明文件（参数-m）和源代码文件（参数-s）。

4. which

which命令的作用是，在PATH变量指定的路径中，搜索某个系统命令的位置，并且返回第一个搜索结果。

5. type

type命令其实不能算查找命令，它是用来区分某个命令到底是由shell自带的，还是由shell外部的独立二进制文件提供的。

linux系统日志收集命令？

命令为var/log/message 。

记录系统重要信息的日志，记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要检查的就是应该是这个日志文件；

/var/log/secure 记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录。比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码；

/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件不能直接vi而需要使用last命令来查看；

/var/run/utmp 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息，同样这个文件不能直接vi，要使用w，who，users等命令；

linux的where命令？

​linux基础命令中的whereis命令用于查找文件。​该指令会在特定目录中查找符合条件的文件。这些文件应属于原始代码、二进制文件，或是帮助文件。​该指令只能用于查找二进制文件、源代码文件和man手册页，一般文件的定位需使用locate命令。

linux基础命令中的whereis命令用于查找文件。