在安全运维中，经常使用什么命令来检测入侵的情况呢？ 本文只是抛砖引玉，这里介绍最常用的五个命令，帮助大家发现系统潜在问题。

1、 last 这个命令可用于查看我们系统的成功登录、关机、重启等情况；这个命令就是将/var/log/wtmp文件格式化输出。

参数选项

-a：把从何处登入系统的主机名称或ip地址，显示在最后一行；

-d：将IP地址转换成主机名称；

-f ：指定记录文件。

-n 或-：设置列出名单的显示列数；

-R：不显示登入系统的主机名称或IP地址；

-x：显示系统关机，重新开机，以及执行等级的改变等信息。

[root@localhost ~]# last

root pts/1 192.168.3.44 Mon Nov 13 18:03 still logged in

root pts/0 :0.0 Mon Nov 13 18:01 still logged in

root tty1 :0 Mon Nov 13 18:01 still logged in

reboot system boot 2.6.32-696.6.3.e Mon Nov 13 17:56 - 18:13 (00:17)

root pts/1 192.168.3.44 Tue Nov 7 17:25 - 18:03 (00:38)

root pts/0 :0.0 Tue Nov 7 17:24 - crash (6+00:32)

root tty1 :0 Tue Nov 7 17:23 - crash (6+00:32)

reboot system boot 2.6.32-696.6.3.e Tue Nov 7 17:14 - 18:13 (6+00:58)

root pts/0 :0.0 Thu Oct 26 20:02 - crash (11+22:12)

root tty1 :0 Thu Oct 26 20:01 - crash (11+22:13)

reboot system boot 2.6.32-696.6.3.e Thu Oct 26 20:00 - 18:13 (17+23:12)

root pts/2 192.168.1.117 Sat Oct 14 03:23 - crash (12+16:37)

2、lastb：这个命令用于查看登录失败的情况；这个命令就是将/var/log/btmp文件格式化输出。

参数选项

-a：把从何处登入系统的主机名称或ip地址显示在最后一行；

-d：将IP地址转换成主机名称； -f：指定记录文件；

-n或-：设置列出名单的显示列数；

-R：不显示登入系统的主机名称或IP地址；

-x：显示系统关机，重新开机，以及执行等级的改变等信息。

3、lastlog：这个命令用于查看用户上一次的登录情况；这个命令就是将/var/log/lastlog文件格式化输出。

参数选项

-b：显示指定天数前的登录信息；

-h：显示召集令的帮助信息；

-t：显示指定天数以来的登录信息；

-u：显示指定用户的最近登录信息。

4、who：这个命令用户查看当前登录系统的情况；这个命令就是将/var/log/utmp文件格式化输出。

参数选项

-H或--heading：显示各栏位的标题信息列；

-i或-u或--idle：显示闲置时间，若该用户在前一分钟之内有进行任何动作，将标示成"."号，如果该用户已超过24小时没有任何动作，则标示出"old"字符串；

-m：此参数的效果和指定"am i"字符串相同；

-q或--count：只显示登入系统的帐号名称和总人数；

-s：此参数将忽略不予处理，仅负责解决who指令其他版本的兼容性问题；

-w或-T或--mesg或--message或--writable：显示用户的信息状态栏；

--help：在线帮助；

--version：显示版本信息。

5、w：与who命令一致。