6ca6cca'

在AIX中，有很多文件用于记录用户的登录和活动。其中最主要包括下面四个：

1. /etc/utmp，这个文件记录了当前登录的用户的相关信息。对于用户的每次登录，它都应该包含一条相应的记录。

2. /var/adm/wtmp，这个文件记录了用户进行的所有登录（和注销）。在一个繁忙的系统中，这个文件是相当大的，因为对于每次登录，它都包含一条登录和一条注销记录。这个文件还包含了一些系统相关的日志信息，如重新启动、关闭和日期更改。

3. /etc/security/lastlog，这个文件记录了每个用户最近一次登录的时间。对于每个用户，这个文件仅包含一条记录。

4./etc/security/failedlogin 这个文件记录每次失败的登录。

在了解了这些文件是何时、采用何种方式写入的之后，那么这些文件之间的关系就相当直观了，基本顺序如下：

1. 当用户尝试登录失败，会在failedlogin文件写入一条新记录。

2. 当用户登录成功的时候，打开 lastlog 文件，并对他们的记录中的登录日期和时间进行更新。然后，打开 utmp，并记录他们的当前登录信息。将登录记录（通常将这些信息的副本添加到 lastlog）写入到 utmp 日志中，以记录相应的登录信息。

3. 在注销期间，删除写入到 utmp 的登录记录（因为该用户不再处于登录状态），但是将一条新记录写入到 wtmp，以记录该用户已经注销的事实。

4. 这些文件的格式都是二进制的；所以，必须使用一种单独的、能够读取和解析其中信息的工具来报告这些信息。通常，wtmp 和 lastlog 文件的基本格式是相同的，并且它们都使用一种简单格式来记录登录时间、登录行和主机名称行信息。