`who` 是一个在Linux系统中常用的命令,用于报告当前登录系统的每个用户。它的主要作用是查询`utmp`文件,并报告当前登录的每个用户]。
`wtmp` 文件则是Linux系统中用于记录系统登录和登出信息的日志文件。它包含了所有用户登录和注销的历史记录,以及系统启动、用户登录、注销、系统关机等事件]。
`who` 命令通常检查 `/etc/utmp` 文件,如果指定了其他文件,则改为检查那个文件,这个新文件通常是 `/var/adm/wtmp` ]。
`last` 命令是用来列出目前与过去登录系统的用户相关信息。它可以往回搜索 `wtmp` 来显示自从文件第一次创建以来登录过的用户]。
`who` 和 `wtmp` 文件紧密相关,它们共同提供了关于系统中登录用户的实时和历史信息。通过使用 `who` 和 `last` 命令,系统管理员可以有效地监控和审计系统的用户活动。
