系统中有一些重要的痕迹日志文件，如/ar/log/wtmp、/var/run/utmp、/var/log/btmp、/var/log/lastlog 等日志文件，如果你用 vim 打开这些文件，你会发现这些文件是二进制乱码。这是由于这些日志中保存的是系统的重要登录痕迹，包括某个用户何时登录了系统，何时退出了系统，错误登录等重要的系统信息。这些信息要是可以通过 vim 打开，就能编辑，这样痕迹信息就不准确，所以这些重要的痕迹日志，只能通过对应的命令来进行查看。

1、w命令

w命令是显示系统中正在登陆的用户信息的命令，这个命令查看的痕迹日志是/var/run/utmp

系统在之前1分钟、5 分钟、15 分钟的平均负载。如果 CPU 是单核的，则这个数值超过1就是高负载;如果 CPU 是四核的，则这个数值超过4就是高负载(这个平均负载完全是依据个人经验来进行判断的，一般认为不应该超过服务器CPU的核数)

cpu/内存的 70/90原则，cpu占有率不应该超过70%，内存占有率不应该超过90%

2、who命令

who 命令和 w 命令类似，用于査看正在登陆的用户，但是显示的内容更加简单，也是查看/var/run/utmp 日志。

 [root@sun161 ~]# who
 root     pts/0        2024-12-08 16:24 (192.168.20.1)
 root     pts/1        2024-12-08 18:00 (192.168.20.1)

3、last命令

last 命令是查看系统所有登陆过的用户信息的，包括正在登陆的用户和之前登陆的用户。这个命令查看的是/var/log/wtmp 痕迹日志文件。

4、lastlog命令

lastlog 命令是查看系统中所有用户最后一次的登陆时间的命令，他查看的日志是/var/log/lastlog文件。

5、lastb命令

lastb 命令是查看错误登陆的信息的，查看的是/var/log/btmp 痕迹日志: