“last”命令中各列的含義
當我正在調查以正常方式重新啟動的伺服器時,我開始查看“last”實用程序,但問題是我無法找到這些列的確切含義。當然,我已經查看了這個人,但它不包含此資訊。
root@webservice1:/etc# last reboot reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:44 - 09:58 (00:13) reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:34 - 09:43 (00:08) reboot system boot 3.2.13-grsec-xxx Thu Apr 12 09:19 - 09:33 (00:13) reboot system boot 3.2.13-grsec-xxx Thu Apr 12 08:51 - 09:17 (00:25) reboot system boot 3.2.13-grsec-xxx Thu Apr 12 00:11 - 09:17 (09:05) reboot system boot 3.2.13-grsec-xxx Wed Apr 11 19:40 - 09:17 (13:36) reboot system boot 3.2.13-grsec-xxx Sun Apr 8 22:06 - 09:17 (3+11:10) reboot system boot 3.2.13-grsec-xxx Sat Apr 7 14:31 - 09:17 (4+18:45) reboot system boot 3.2.13-grsec-xxx Fri Apr 6 10:20 - 09:17 (5+22:56) reboot system boot 3.2.13-grsec-xxx Thu Apr 5 00:16 - 09:17 (7+09:01) reboot system boot 3.2.13-grsec-xxx Tue Apr 3 07:34 - 09:17 (9+01:42) reboot system boot 3.2.13-grsec-xxx Tue Apr 3 02:31 - 09:17 (9+06:45) reboot system boot 3.2.13-grsec-xxx Mon Apr 2 23:17 - 09:17 (9+09:59)第一列對包含的核心版本有意義。這些時間究竟代表什麼?最後一個似乎是正常執行時間。
其次,這應該是一個 24/7 的伺服器,除了時間似乎不匹配,這可能意味著它正在經歷停機或類似的事情。例如,如果我們查看最後兩行,是否意味著我的伺服器從 Apr2 09:17 到 Apr3 02:31 關閉?
至於背景資訊,這是一個 Debian Squeeze 伺服器。
編輯
如果最後一列是開始時間、停止時間和正常執行時間,您如何解釋這兩行:
reboot system boot 3.2.13-grsec-xxx Tue Apr 3 07:34 - 09:17 (9+01:42) reboot system boot 3.2.13-grsec-xxx Tue Apr 3 02:31 - 09:17 (9+06:45)第二次會議似乎在第一次會議開始後結束,這對我來說沒有意義。
我想這是一個三年前的文章,但無論如何我都會做出回應,以造福於將來遇到它的任何其他人,就像我最近所做的那樣。
通過閱讀其他文章並自己在一段時間內監控輸出,看起來每一行都列出了會話的開始日期和時間、會話的結束時間(但不是結束日期)以及會話的持續時間(他們登錄了多長時間),格式如下
(天+小時:分鐘)
重新啟動使用者似乎被記錄為在系統啟動時登錄,在系統重新啟動或關閉時關閉,並且在這些行中,“會話持續時間”資訊是時間長度(天+小時:分鐘)該“會話”持續了多長時間,即係統在關閉之前啟動了多長時間。
對我來說,最近的重新啟動條目將目前時間顯示為“註銷”時間,並且該條目的會話持續時間數據與目前正常執行時間輸出相匹配。
所以在這一行:
重新啟動系統啟動 3.2.13-grsec-xxx 4 月 3 日星期二 07:34 - 09:17 (9+01:42)
該系統於 4 月 3 日星期二早上 7 點 34 分啟動,並在 9 天 1 小時 42 分鐘後(4 月 12 日)早上 9 點 17 分關閉。(或者,這個輸出是當時收集的,這是最近的重啟條目,“重啟”實際上還沒有“註銷”。在這種情況下,如果你再次執行最後一個命令,輸出將會改變。)
為什麼你會在 4 月 3 日為重啟使用者提供 2 個條目,這兩個條目都是 9 天,這對我來說是個謎;我的系統不這樣做。