要查看linux系統(tǒng)中用戶的登錄歷史記錄,使用last命令即可。1.直接輸入last可查看所有用戶最近的登錄、登出信息,包括用戶名、時間、ip等;2.使用last -n x可顯示最近x條記錄;3.輸入last username可查詢特定用戶的登錄歷史;4.使用last -f /var/log/btmp或lastb可查看失敗的登錄嘗試;5.結(jié)合watch last -n 10可實時監(jiān)控最新的登錄活動。
想知道怎么查看linux系統(tǒng)中用戶的登錄歷史記錄?其實方法很簡單,last 命令就能搞定。它能幫你快速查到誰在什么時候登錄過系統(tǒng),甚至還能看到遠(yuǎn)程登錄嘗試的情況。
用 last 查看登錄記錄的基本操作
last 是 Linux 自帶的工具,直接輸入命令就能看到所有用戶最近的登錄和登出情況。它讀取的是 /var/log/wtmp 文件的內(nèi)容。
比如你只需要在終端輸入:
last
就會列出完整的登錄歷史記錄,包括用戶名、登錄時間、來源 IP(如果是遠(yuǎn)程登錄)、以及登出時間等信息。
如果你想只看前幾條記錄,可以加上 -n 參數(shù),例如顯示最近5次登錄:
last -n 5
這樣可以更聚焦地查看最新的活動情況。
查看特定用戶的登錄記錄
如果你只想查某個用戶的登錄歷史,那也很方便。只需在 last 后面加上用戶名即可。
比如要查用戶 john 的登錄記錄:
last john
這會列出該用戶的所有登錄信息,適合管理員排查問題或?qū)徲嬘脩粜袨椤?/p>
有時候你可能還會看到類似 reboot 或 shutdown 的記錄,這些不是用戶登錄事件,而是系統(tǒng)重啟或關(guān)機的日志。它們也會被 last 顯示出來,但不用太擔(dān)心,屬于正常現(xiàn)象。
查看失敗的登錄嘗試(btmp)
除了正常的登錄記錄,你可能還想了解有沒有人試圖非法登錄你的系統(tǒng)。這時候就要查看 /var/log/btmp 文件了。
使用下面這個命令:
last -f /var/log/btmp
或者你可以直接使用:
lastb
這個命令專門用來顯示失敗的登錄嘗試。如果發(fā)現(xiàn)大量失敗記錄,尤其是來自陌生 IP 的嘗試,那就需要注意系統(tǒng)安全了。
更多實用技巧
-
查看關(guān)機/重啟記錄
系統(tǒng)重啟和關(guān)機的信息也包含在 last 輸出里,通常能看到一行寫著 system boot 或 shutdown 的內(nèi)容,表示系統(tǒng)啟動和關(guān)閉的時間點。 -
實時監(jiān)控登錄活動
雖然 last 只是靜態(tài)查看歷史記錄,但你可以結(jié)合 watch 命令來持續(xù)觀察新出現(xiàn)的登錄行為:watch last -n 10
這樣每兩秒刷新一次最近10條記錄,適合臨時監(jiān)控服務(wù)器訪問情況。
基本上就這些。別看它功能強大,用起來其實挺簡單的,不過有些細(xì)節(jié)比如日志文件路徑、命令參數(shù)組合容易忽略,建議平時多留意記錄的變化規(guī)律。
