使用last、who、w命令及系统日志可查看Linux用户登录情况:last显示历史登录记录,who和w显示当前在线用户及活动,结合/var/log/auth.log或journalctl可深入分析登录详情与安全事件。
在Linux系统里,想知道谁在什么时候登录过,或者现在谁在线,其实有几种非常直接且常用的方法。简单来说,我们主要会用到
last
、
who
和
w
这些命令,以及系统日志文件,比如
/var/log/auth.log
或
/var/log/secure
。它们能帮你快速了解用户的活动轨迹,无论是出于安全审计,还是单纯的好奇心,这些工具都能提供你所需要的信息。
要查看用户的登录历史,最常用的莫过于
last
命令了。它会从
/var/log/wtmp
文件中读取信息,告诉你系统重启以来所有用户的登录和登出记录。
last
这个命令会列出用户名、登录终端、登录IP或主机名、登录时间、登出时间以及会话持续时间。有时候,你会看到
still logged in
,这表示用户还在会话中。如果看到
down
,那通常是系统关机或重启。
而如果你想看当前谁在线,
who
和
w
命令就派上用场了。
who
命令会显示当前登录系统的所有用户,包括他们的用户名、终端、登录时间和来源。
who
w
命令则更进一步,它不仅显示当前在线用户,还会告诉你他们正在做什么(执行的命令),这在排查问题时非常有用。
w
至于更详细的,甚至包括失败的登录尝试,那就要深入到系统日志文件里了。在大多数基于Debian的系统上,是
/var/log/auth.log
;而在基于Red Hat的系统上,通常是
/var/log/secure
。你可以用
grep
命令来过滤这些日志。
grep "session opened" /var/log/auth.loggrep "Failed password" /var/log/auth.log
这些日志文件记录了系统认证相关的各种事件,包括成功的登录、失败的尝试、SSH连接等等。
为什么追踪用户登录历史至关重要?
在我看来,追踪用户登录历史,绝不仅仅是满足好奇心那么简单。它在系统安全和运维管理中扮演着核心角色。想想看,如果你的系统出现了一些异常行为,比如CPU占用率突然飙升,或者某些文件被修改了,你第一反应可能就是去查查最近谁登录过,是不是有未授权的访问。这就像是家里的门禁记录,谁进谁出,一目了然。
从安全角度讲,登录历史是发现潜在入侵行为的黄金线索。一个陌生的IP地址在半夜登录了你的服务器?或者一个不常用的账户突然活跃起来?这些都可能是安全警报。审计时,它也是合规性要求的重要组成部分,很多法规都要求企业保留一定时间的系统访问日志。此外,在日常排障中,如果某个服务出问题了,看看最近有没有哪个用户登录并执行了某些操作,也能帮助我们快速定位问题。我个人就遇到过好几次,通过查看登录历史,发现是某个同事不小心执行了错误命令导致的服务中断。所以,这不是一个可有可无的功能,而是系统健康和安全的关键一环。
last
命令的深度剖析与高级用法
last
命令,前面提到了,它是查看历史登录记录的利器。但它远不止
last
这么简单。它其实有很多实用的参数,能让你更精准地定位信息。
比如,如果你只想看某个特定用户的登录历史,可以直接在
last
后面加上用户名:
last username
这会过滤出该用户的所有登录记录。如果想看某个终端(比如
pts/0
)的登录情况,也可以:
last pts/0
有时候,我们可能只关心最近的几次登录,而不是所有历史记录。
last -n count
这个参数就派上用场了:
last -n 10 # 查看最近10条登录记录
更有趣的是,
last
命令默认读取的是
/var/log/wtmp
文件。但你知道吗,还有一个
lastb
命令,它读取的是
/var/log/btmp
文件,专门记录失败的登录尝试!这对于安全审计来说简直是宝藏。
UP简历
基于AI技术的免费在线简历制作工具
128 查看详情 
lastb
通过
lastb
,你可以清晰地看到哪些IP地址、哪些用户尝试登录失败了多少次。这对于发现暴力破解攻击非常有用。我经常用它来快速扫描一下系统有没有被恶意尝试登录。记住,
wtmp
记录成功,
btmp
记录失败,两者结合起来看,才能对系统的登录情况有一个全面的了解。
如何从系统日志中挖掘更详细的登录信息?
当我们谈到登录历史,尤其是更深层次的细节,系统日志文件无疑是信息最丰富的地方。前面简单提到了
/var/log/auth.log
或
/var/log/secure
,但实际上,这里面蕴含的信息远不止成功或失败的提示。
这些日志文件详细记录了认证过程中的每一个步骤,比如SSH密钥认证、sudo操作、用户会话的开启和关闭等等。你可以用
cat
、
tail
或
less
来查看这些文件,然后结合
grep
进行过滤。
例如,要查看所有SSH相关的登录尝试,无论是成功还是失败:
grep "sshd" /var/log/auth.log
这会显示所有与
sshd
服务相关的日志条目。你会看到很多信息,比如哪个用户从哪个IP尝试登录,是密码认证还是密钥认证,以及登录成功或失败的结果。
对于使用
systemd
的现代Linux系统,
journalctl
是一个更强大的工具,它可以查询系统日志,包括认证相关的日志。它的优势在于可以按时间、按服务、按用户等多种方式进行过滤,而且日志是结构化的,查询起来更方便。
journalctl _COMM=sshd # 查看所有sshd服务的日志journalctl _COMM=sshd -S "2023-01-01 00:00:00" -U "2023-01-02 00:00:00" # 查看特定时间段的sshd日志
使用
journalctl
配合
grep
,你可以挖出非常具体的登录细节,比如某个用户在某个时间点是通过哪个认证方式登录的,或者哪些IP地址在尝试暴力破解。这些日志是系统安全事件分析的核心数据源,理解如何有效利用它们,对于任何系统管理员来说都至关重要。我个人觉得,熟练掌握
grep
和
journalctl
的组合拳,能让你在日志排查上事半功倍。
区分当前在线用户与历史登录记录
这是一个经常让人混淆的点,但理解它们之间的区别非常重要。简单来说,
who
和
w
命令关注的是“当下”——即现在有谁正在使用系统,他们在做什么。而
last
命令则着眼于“过去”——系统启动以来,谁曾经登录过。
想象一下,你走进一个办公室。
who
和
w
就像是你在办公室里环顾一圈,看看现在有哪些人在工位上工作。你能立刻知道小张、小李、小王现在都在。
w
甚至还能告诉你小张在写代码,小李在开会。
而
last
命令,则更像你查看了办公室的门禁刷卡记录。它会告诉你,今天早上小张几点来的,小李几点走的,昨天小王也来过。即使现在办公室里没人,门禁记录依然在那里,记录着历史。
所以,如果你想快速了解当前系统负载和用户活动,
w
是首选,它提供了实时快照。如果你需要进行安全审计,或者追溯某个时间段的登录情况,
last
和系统日志(如
auth.log
)才是你的主要工具。它们各自服务于不同的目的,但都是系统管理中不可或缺的一部分。有时候,我甚至会先用
w
看看有没有可疑用户在线,然后再用
last
追溯他的历史行为,这是一种很自然的排查流程。
以上就是Linux如何查看用户的登录历史的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/425244.html
微信扫一扫 
支付宝扫一扫 
