last命令 – 显示用户历史登录情况

Linux Last命令详解

在Linux系统中,使用last命令可以列出当前系统上所有用户最近登录的信息。该命令会读取位于 /var/log/ 目录下的 wtmp 文件,并记录终端设备、运行时间以及从那个IP地址进行的登录等信息。

命令语法

last [选项] [用户名...] [终端名称...]

选项说明

选项说明
-a把从何处登入系统的主机名称或IP地址显示在最后一行
-d将IP地址转换成主机名称进行显示
-f设置记录文件
-F显示完整的登录时间和日期
-h显示帮助信息
-i显示指定IP登录情况
-n设置显示的行数
-R省略主机名 hostname 的列
-s显示指定时间以后的行
-t显示指定时间之前的行
-x显示系统开关机信息
-V显示版本信息

参数说明

[用户名...]可指定一个或多个特定的用户,用空格隔开。如果没有指定,则会显示所有用户的登录信息。

[终端名称...]可指定一个或多个特定的终端设备,用空格隔开。如果没有指定,则会显示所有终端的登录信息。

例如:

实操示例

以下表格展示了一些常见的last命令操作,包括命令语法、参数说明以及实际输出。

命令描述
last显示所有用户登录信息
last -n 5显示最后五行登录信息
last -d将IP地址转换成主机名称进行显示
last -a显示所有登录主机(IP地址和名称)
last -i 192.168.1.1显示指定IP地址成功登录的情况
last -f /var/log/wtmp-20220501显示指定记录文件的登录信息
last -F显示完整的登录时间和日期
last -t 2022-05-01显示指定时间点之前的登录信息
last -s 2022-05-01显示指定时间点之后的登录信息
last -x显示系统开关机信息

值得注意的是,last命令有一定的局限性,wtmp文件中只会保留一定数量的最新记录。因此,如果需要获取更早的登录记录,就需要备份历史日志文件,或者使用其他工具来完成该任务。

同时,在使用last命令时,我们需要注意以下几个重点细节:

  1. 显示的登录信息仅限于使用正常流程进行的登录,而并不包括非法登录、切换用户、系统关机等特殊情况。
  2. 当wtmp文件过大时,last命令会出现缓慢或者崩溃的情况。此时可以直接使用last命令的-w选项,来清空wtmp文件并重新开始记录。
  3. last命令不能像其他日志审计工具那样自动监视,需要手动执行才能查看日志信息。如果需要实时监视系统登录信息,则需要使用其他工具,例如w或者who命令。

最后,还需注意的是last命令并不安全,因为其显示的结果可以被操纵,从而隐藏某些用户的登录记录。因此,在需要审计用户行为时,应该使用更加安全的工具,例如auditd等,来进行记录和审计。

总结

通过使用last命令,我们可以快速地了解当前系统上所有用户的登录情况,及其所在终端、登录时间等信息。虽然last命令的功能相对简单,但是它作为日志审计工具的一个重要组成部分,对于保障系统的安全运行和监督用户行为,具有非常重要的作用。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李乾星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值