Linux命令w f详解，实时监控系统用户活动？w命令能监控哪些用户活动？w命令能监控哪些用户活动？

Linux用户监控命令深度解析：w与f命令的实战应用

在Linux系统管理中，实时监控用户登录状态及活动是管理员的核心职责。w和f作为系统内置的轻量级监控工具，分别提供实时会话监控和历史登录追溯功能,二者协同使用可构建完整的用户活动监控体系。

命令功能定位

• w命令：动态显示当前登录用户的详细信息，包括：
  • 终端会话状态（TTY/PTS）
  • 登录时间与空闲时长
  • 进程级CPU资源占用（JCPU/PCPU）
  • 实时执行命令（WHAT）
• f命令：需通过util-linux软件包安装，主要功能：
  • 记录用户登录/登出历史
  • 显示会话持续时间
  • 支持按时间范围过滤

版本差异提示：在RHEL/CentOS中需执行yum install util-linux获取完整功能，而Debian/Ubuntu系统默认包含该命令。

w命令技术详解

输出字段全解析

进阶参数组合

# 持续监控特定用户（每2秒刷新）
watch -n 2 "w -h | grep 'root'"
# 输出重定向分析（记录CPU占用前3的用户）
w | sort -k6 -nr | head -n 3 > cpu_usage.log

w -f的深度应用场景

安全审计实战案例

1. 异常登录检测

   # 筛查非内网IP登录
   w -f | grep -vE '192.168|localhost|10.'

2. 会话时间分析

   # 发现长时间空闲会话（超过8小时）
   w | awk '$5 ~ /[0-9]+days/ || $5 ~ /[8-9][0-9]:[0-9][0-9]/'

企业级监控方案

# 实时监控看板（带时间戳记录）
while true; do
    echo "==== $(date +'%F %T') ====" >> /var/log/user_monitor.log
    w -f >> /var/log/user_monitor.log
    sleep 300
done

关联命令对比矩阵

安全加固建议

1. 会话超时控制

   # 全局会话超时设置（/etc/profile）
   export TMOUT=900  # 15分钟无操作自动断开
   readonly TMOUT    # 防止用户修改

2. SSH监控增强

   # 实时记录SSH登录（追加到auth.log）
   echo "LogLevel VERBOSE" >> /etc/ssh/sshd_config
   systemctl restart sshd

3. 综合监控脚本

   #!/bin/bash
   {
     echo "=== Active Sessions ==="
     w -f
     echo "\n=== Login History ==="
     last -n 5
     echo "\n=== Suspicious IPs ==="
     grep 'Failed password' /var/log/auth.log | awk '{print $11}' | sort | uniq -c
   } > /var/log/security_audit_$(date +%s).log

性能优化技巧

1. 大数据量处理

   

   # 使用awk快速分析（统计各用户CPU总占用）
   w | awk 'NR>2{arr[$1]+=$6}END{for(u in arr)print u,arr[u]"s"}' | sort -k2 -nr

2. 可视化展示

   # 生成CPU占用率图表（需安装gnuplot）
   w | awk 'NR>2{print $1,$6}' | gnuplot -p -e 'plot "-" using 2:xtic(1) with boxes'

扩展学习路径

1. 进程级监控

   • htop交互式进程查看器
   • lsof分析打开文件描述符

2. 网络层监控

   • iftop实时带宽监控
   • nethogs进程级流量统计

3. 日志分析

   

   • journalctl系统日志查询
   • logwatch自动化日志分析

通过掌握这些工具的组合使用，系统管理员可以构建从用户会话到网络连接的全维度监控体系,有效提升系统安全性和运维效率。