大多数UNIX系统都提供下列两个数据文件:utmp文件,它记录当前登录进系统的各个用户;wtmp文件,它跟踪各个登录和注销事件。在V7中,每次写入这两个文件中的是包含下列结构的一条二进制记录:
struct utmp { char ut_line[8]; /* tty line: "ttyh0", "ttyd0", "ttyp0", ... */ char ut_name[8]; /* login name */ long ut_time; /* seconds since Epoch */ };
登录时,login程序填写此类型结构,然后将其写入到utmp文件中,同时也将其添写到wtmp文件中。注销时,init进程将utmp文件中相应的记录擦除(每个字节都填以0),并将一个新记录添写到wtmp文件中。在wtmp文件的注销记录中,将ut_name字段清0。在系统重新启动时,以及更改系统时间和日期的前后,都在wtmp文件中添写特殊的记录项。who(1)程序读utmp文件,并以可读格式打印其内容。后来的UNIX版本提供了last(1)命令,它读wtmp文件并打印所选择的记录。
在Linux 2.4.22中,这两个文件的路径名是/var/run/utmp和/var/log/wtmp。
本篇博文内容摘自《UNIX环境高级编程》(第二版),仅作个人学习记录所用。关于本书可参考:http://www.apuebook.com/。