linux 查看各种用户登录日志

引自:http://blog.sina.com.cn/s/blog_5e97625d0100ia8j.html

用户登录系统信息日志文件是以二进制文件存储的,所以不能直接查看,要使用last工具等进行查看

last -f /var/log/wtmp


last用来显示用户登录情况。以下是直接显示固定行数的记录。kkk是新建的用户。

[kkk@localhost ~]$ last -6
kkk     pts/2        :0.0             Thu Jul 26 20:48   still logged in  
kkk     pts/2        :0.0             Thu Jul 26 20:21 - 20:21 (00:00)    
kkk     :0                            Thu Jul 26 20:21   still logged in  
reboot   system boot 2.6.18-1.2798.fc Thu Jul 26 20:20          (00:41)    
kkk     pts/2        :0.0             Thu Jul 26 11:16 - 11:46 (00:30)    
kkk     pts/2        :0.0             Thu Jul 26 10:18 - 10:18 (00:00)    


wtmp begins Sun Jul 1 15:17:08 2007


默认是显示wtmp的记录,btmp能显示的更详细,可以显示远程登录,例如ssh登录。
[root@localhost ~]# last -n 15 -f /var/log/btmp
kkk     :0                            Thu Jul 26 20:21   still logged in  
klot     tty1                          Fri Jul 20 22:27    gone - no logout
np962e76 tty1                          Fri Jul 20 22:26 - 22:27 (00:00)    
klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    
root     :0                            Fri Jul 20 22:22 - 20:21 (5+21:58)  
klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    
root     tty1                          Fri Jul 20 20:58 - 22:26 (01:28)    
klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
reboot   tty1                          Fri Jul 20 20:55 - 20:57 (00:02)    
root     tty1                          Fri Jul 20 20:54 - 20:55 (00:00)    
root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00)
btmp begins Mon Apr 30 22:05:54 2007
显示特定tty口的登录,1是tty1的登录情况,看的很清楚的。 np962e76 和 lkdjflkj 和klot其实都没有登录成功,我是把密码忘记了。前面两个用户,是根本不存在的,但是也有记录。
[root@localhost ~]# last -n 15 -f /var/log/btmp 1
klot     tty1                          Fri Jul 20 22:27    gone - no logout
np962e76 tty1                          Fri Jul 20 22:26 - 22:27 (00:00)    
klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    
root     tty1                          Fri Jul 20 20:58 - 22:26 (01:28)    
klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
reboot   tty1                          Fri Jul 20 20:55 - 20:57 (00:02)    
root     tty1                          Fri Jul 20 20:54 - 20:55 (00:00)    
root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    
root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    
lkdjflkj tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    


btmp begins Mon Apr 30 22:05:54 2007
显示特定用户的登录情况。
[root@localhost ~]# last -n 15 -f /var/log/btmp klot
klot     tty1                          Fri Jul 20 22:27    gone - no logout
klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    
klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    
klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    


btmp begins Mon Apr 30 22:05:54 2007
显示登录登出的记录,-x。
[root@localhost ~]# last -n 15 -f /var/log/btmp klot -x
klot     tty1                          Fri Jul 20 22:27    gone - no logout
klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    
klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    
klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:53 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    
klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    


btmp begins Mon Apr 30 22:05:54 2007
-i显示特定ip登录的情况。跟踪用。
[root@localhost ~]# last -n 15 -i 127.0.0.1 -f /var/log/btmp klot
klot     tty1         0.0.0.0          Fri Jul 20 22:27    gone - no logout
klot     tty1         0.0.0.0          Fri Jul 20 22:26 - 22:26 (00:00)    
klot     :0           0.0.0.0          Fri Jul 20 22:22 - 22:22 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:58 - 20:58 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:58 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:54 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:53 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:52 (00:00)    
klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:52 (00:00)    


btmp begins Mon Apr 30 22:05:54 2007
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: 要查看Linux用户登录日志,可以使用以下命令: 1. 查看所有用户的登录日志: ``` sudo cat /var/log/auth.log ``` 2. 查看特定用户的登录日志: ``` sudo cat /var/log/auth.log | grep username ``` 其中,username是你要查看的用户名。 3. 查看最近的登录记录: ``` sudo last ``` 这个命令会列出所有用户的最近登录记录,包括登录时间、IP地址等信息。 希望这些命令能够帮助你查看Linux用户登录日志。 ### 回答2: 在Linux系统中,用户登录日志记录了用户登录到系统的相关信息,包括用户名、登录时间、登录方式等。 1. 查看/var/log目录下的secure日志文件: $ cat /var/log/secure 该日志文件是只有root用户才有权限查看的,如果是普通用户,可以通过sudo命令来查看: $ sudo cat /var/log/secure 该命令可以查看到所有用户的登录、注销和验证信息。 2. 使用last命令查看历史登录信息: $ last 该命令可以查看到所有用户的历史登录信息,包括登录时间、IP地址、登录类型等。 3. 查看wtmp日志文件: $ last -f /var/log/wtmp 该命令可以查看到所有用户的登录、注销和系统重启等信息。 以上三种方式都可以查看Linux系统用户的登录日志,可以根据需要进行选择,同时也可以根据日志信息来检查系统安全性。 ### 回答3: 在Linux系统中,登录日志常用来记录用户在系统中登录的信息,包括登录时间、登录IP、登录账户等。对于系统管理员来说,查看登录日志是非常重要的,因为它可以帮助他们监控系统的安全性,及时发现安全漏洞,并采取必要的措施保障系统的安全。 查看用户登录日志的方法如下: 1. 使用命令last查看登录日志。在终端中输入last命令,会显示出所有系统用户的登录记录,包括用户名、登录时间、IP地址等信息。这个文件通常保存在/var/log/wtmp目录下。 2. 查看/var/log/auth.log文件。此日志文件记录着用户的登录和认证信息,包括sulogin启动信息、系统认证信息、PAM认证信息等。可以使用cat、tail或grep等命令来查看日志。 3. 查看/var/log/secure 文件。此文件通常记录着ssh、su、sudo等安全信息,其中包含着很多关于用户登录的记录。可以使用cat、tail或grep等命令来查看系统用户的登录情况。 对于系统管理员来说,查看用户登录日志是非常重要的,因为它能够帮助管理员了解系统当前的安全状态,及时发现用户异常的操作行为和安全漏洞,并采取相应措施保护系统的安全。所以,系统管理员需要经常查看用户登录日志,确保系统安全可靠。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值