00. 目录
01. 命令概述
last命令用于显示用户最近登录信息。单独执行last命令,它会读取/var/log/wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
last命令的作用是显示近期用户或终端的登录情况,通过查看系统记录的日志文件内容,进而使管理员可以获知谁曾经或者企图连接系统。
执行last命令时,它会读取/var/log目录下名称为wtmp的文件,并把该文件记录的登录系统或终端的用户名单全部显示出来。默认显示wtmp的记录,btmp能显示的更详细,可以显示远程登录,例如ssh登录。
02. 命令格式
last [-R] [-num] [ -n num ] [-adiox] [ -f file ] [name...] [tty...]
03. 常用选项
-a:把从何处登入系统的主机名称或ip地址,显示在最后一行;
-d:将IP地址转换成主机名称;
-f <记录文件>:指定记录文件。
-n <显示列数>或-<显示列数>:设置列出名单的显示列数;
-R:不显示登入系统的主机名称或IP地址;
-x:显示系统关机,重新开机,以及执行等级的改变等信息。
04. 参考示例
4.1 显示近期用户或终端的登录情况
[deng@itcast ~]$ last
deng pts/2 172.16.0.51 Fri Aug 2 21:54 still logged in
第一列: 用户名
第二列: 终端位置
pts: 意味着从SSH或TELNET的远程连接用户
tty: 意味着直接连接到计算机或者本地连接用户
除了重启,所有状态会在启动时显示
第三列: 登录IP或者内核
0.0或者什么都没有的话:意味着用户通过本地终端连接
重启活动,会显示内核版本
第四列: 开始时间
第五列: 结束时间
still log in: 还在登录
down: 直到正常关机
crash: 直到强制关机
第六列: 持续时间
4.2 简略显示,并指定显示的个数
[deng@itcast ~]$ last -n 5 -R
deng pts/2 Fri Aug 2 21:54 still logged in
deng pts/1 Fri Aug 2 21:49 still logged in
deng pts/2 Fri Aug 2 20:30 - 21:04 (00:34)
deng pts/1 Fri Aug 2 20:11 - 21:04 (00:52)
deng pts/1 Thu Aug 1 22:14 - 19:51 (21:37)
wtmp begins Thu Nov 8 03:53:52 2018
[deng@itcast ~]$
4.3 显示最后一列显示主机IP地址
[deng@itcast ~]$ last -n 5 -a -i
deng pts/2 Fri Aug 2 21:54 still logged in 172.16.0.51
deng pts/1 Fri Aug 2 21:49 still logged in 172.16.0.51
deng pts/2 Fri Aug 2 20:30 - 21:04 (00:34) 192.168.12.194
deng pts/1 Fri Aug 2 20:11 - 21:04 (00:52) 192.168.12.194
deng pts/1 Thu Aug 1 22:14 - 19:51 (21:37) 172.16.0.51
wtmp begins Thu Nov 8 03:53:52 2018
[deng@itcast ~]$
4.4 显示最近6条登录记录
[deng@itcast ~]$ last -6
deng pts/2 172.16.0.51 Fri Aug 2 21:54 still logged in
deng pts/1 172.16.0.51 Fri Aug 2 21:49 still logged in
deng pts/2 192.168.12.194 Fri Aug 2 20:30 - 21:04 (00:34)
deng pts/1 192.168.12.194 Fri Aug 2 20:11 - 21:04 (00:52)
deng pts/1 172.16.0.51 Thu Aug 1 22:14 - 19:51 (21:37)
deng pts/1 192.168.12.178 Thu Aug 1 21:26 - 21:54 (00:27)
wtmp begins Thu Nov 8 03:53:52 2018
[deng@itcast ~]$
4.5 显示最近15条记录
[deng@itcast ~]$ last -n 15
deng pts/2 172.16.0.51 Fri Aug 2 21:54 still logged in
deng pts/1 172.16.0.51 Fri Aug 2 21:49 still logged in
deng pts/2 192.168.12.194 Fri Aug 2 20:30 - 21:04 (00:34)
deng pts/1 192.168.12.194 Fri Aug 2 20:11 - 21:04 (00:52)
deng pts/1 172.16.0.51 Thu Aug 1 22:14 - 19:51 (21:37)
deng pts/1 192.168.12.178 Thu Aug 1 21:26 - 21:54 (00:27)
deng pts/3 192.168.12.178 Thu Aug 1 18:30 - 21:26 (02:56)
deng pts/2 172.16.0.51 Wed Jul 31 21:54 - 18:32 (20:38)
deng pts/1 172.16.0.51 Wed Jul 31 21:54 - 18:32 (20:38)
deng pts/1 192.168.12.161 Wed Jul 31 21:27 - 21:47 (00:20)
deng pts/1 192.168.12.161 Wed Jul 31 21:25 - 21:27 (00:02)
deng pts/1 192.168.12.161 Wed Jul 31 20:18 - 21:24 (01:05)
deng pts/2 192.168.12.161 Wed Jul 31 20:01 - 21:47 (01:45)
deng pts/1 172.16.0.51 Tue Jul 30 20:14 - 20:05 (23:50)
deng pts/1 172.16.0.51 Tue Jul 30 15:05 - 19:49 (04:44)
wtmp begins Thu Nov 8 03:53:52 2018
[deng@itcast ~]$
4.6 显示最近root用户的5条记录
[deng@itcast ~]$ last -n 5 root
root pts/5 192.168.21.60 Sun Mar 24 21:17 - 21:18 (00:00)
root pts/1 192.168.21.21 Wed Mar 6 09:35 - 09:36 (00:00)
root pts/3 192.168.199.151 Fri Dec 28 23:23 - down (00:43)
root pts/2 :0 Fri Dec 28 21:34 - 00:07 (02:32)
root pts/1 :0 Fri Dec 28 21:34 - 00:07 (02:33)
wtmp begins Thu Nov 8 03:53:52 2018
[deng@itcast ~]$
4.7 指定记录文件
该文件比较详细,可以显示ssh远程登录的信息
[root@itcast ~]# last -n 8 -f /var/log/btmp
root pts/1 Fri Aug 2 21:00 gone - no logout
root pts/1 Thu Aug 1 21:27 - 21:00 (23:33)
btmp begins Thu Aug 1 21:27:11 2019
[root@itcast ~]#
4.8 显示完整登录和登出信息
[deng@itcast ~]$ last -F
4.9 关于last几点说明
关于last命令的几点说明:
-
wtmp,btmp,utmp均为二进制文件,不能用cat查看,可用last打开
-
echo > /var/log/wtmp 可清空wtmp记录
Linux系统的三个主要日志子系统
进程日志(acct/pacct: 记录用户命令)
错误日志(/var/log/messages:系统级信息;access-log:记录HTTP/WEB的信息)
连接日志(/var/log/wtmp,/var/log/btmp,/var/run/utmp)
关当前登录用户的信息记录在文件utmp中;
登录进入和退出纪录在文件wtmp中;
最后一次登录文件可以用lastlog命令察看;
数据交换、关机和重起也记录在wtmp文件中;
05. 总结
扫一扫
1406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
