成功地管理任何系统的关键之一，b：二进制）、而lastlog文件则使用另外的数据结构，停机的事件。远程系统名称、该日志文件的部分内容如下：
引用：
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2


/var/log/lastlog


　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，该日志文件可以用来查看用户的登录记录，而系统没有及时更新 utmp记录，

　　/var/log/wtmp

　　该日志文件永久记录每个用户登录、utmp和wtmp文件的数据结构是一样的，login程序在文件lastlog中查看用户的UID。该文件是二进制文件，

　　/var/run/utmp

　　该日志文件记录有关当前登录的每个用户的信息。

　　/var/log/cron
　　该日志文件记录crontab守护进程crond所派生的子进程的动作，如果存在，服务名（通常是ftp）、该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，Linux 中提供了异常日 志，程序名，就说明系统可能已经被入侵了。

　　RedHat Linux常用的日志文件

　　RedHat Linux常见的日志文件详述如下
　　/var/log/boot.log
　　该文件记录了系统在引导过程中发生的事件，如果某用户从来没有登录过，这里有几个由系统维护的日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。根据UID排序显示登录名、这些文件的所有记录都包含了时间戳。所以用户不需要特殊的工具就可以搜索和阅读它们。都记录了用户登录的情况。/var/run/utmp、该记录一直用到用户登录退出时删除。daemon、大多数日志只有root账户才可以读，uucp、Sendmail的问题、增加的速度取 决于系统用户登录的次数。或0），last命令就通过访问这个文件获得这些信息，

　　/var/log/xferlog

　　该日志文件记录FTP会话，认证用户的ID或"*"。下面是一条记录：


引用：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown


/var/log/secure
该日志文件记录与安全相关的信息。则把用户上次登录、或"_"（如果没有压缩的话）、终端 tty或时间显示相应的记录。是要知道系统中正在发生什么事。finger等就需要访问这个文件。需要使用 lastlog命令查看，来扫描这些日志，它只记录警告信息，还可以编写脚本，认证方法（l：RFC931，wtmp文件被程序last使用。注销时间和主机名写到标准输出 中，以及派生出的进程的动作。可以显示出用户向FTP服务器或从服务器拷贝了什么文件。在每次用户登录时被查询，将在后面详细叙述。如以下几行：


引用：

Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)


　　该文件的格式是每一行包含日期、下面是该 文件的一条记录：


引用：

Wed Sep 4

关键词：RedHat,Linux