在linux系统中，被称为三剑客的，有很多，比如处理文本的三剑客：grep、sed、awk三条强大的命令。在linux系统监控和记录用户相关信息方面，也有三个文件，称其为监控三剑客，分别是/run/utmp文件、/var/log/wtmp文件、/var/log/btmp文件。

/run/utmp文件

utmp文件是用于记录当前登录操作系统的用户的信息。包括登录用户名、登录终端类型、登录时间、登录状态以及登录ip等信息。如图1：

使用last命令可以详细查看utmp文件的信息，如图1命令1，而使用cat命令则会有不可读的字符显示。

/var/log/wtmp文件

wtmp文件是用于登录、登出系统时，记录相关的信息，如图2。

最右侧一列的信息表示登录状态；

still logged in说明还在登录中，未退出登录；

08:12 (16:54)：表示登录-登出的时间；

wtmp文件和utmp文件保存的信息内容是一致的，区别在于wtmp文件保存了的数量更多，内容更多，时间更为持久，如:3统计的数量对比。因此wtmp文件更有助于系统管理员追溯用户的登录时间，进行相关分析和审计。

/var/log/btmp文件

btmp文件是linux系统中用于记录用户登录失败的相关信息。每当有用户想要登录系统，但是登录失败时，该文件则会记录相关信息。如图4：

btmp文件也是可以长时间保存并且保留多条信息的，并且记录的信息包括登录的用户名，登录终端，访问ip，和访问时间等，这些信息都可以极大的帮助系统管理员监控潜在的恶意连接和安全威胁，提高系统的安全性。

总结

utmp文件只能保存当前成功登录的用户的相关信息。

wtmp文件保存的是曾经登录过系统，并且成功登录的用户的相关信息，保存数量多，时间跨度大。

btmp文件则是记录登录系统失败的用户的相关信息，同样也是保存的数量多，时间跨度大。