last命令用于查看Linux用户登录历史,读取/var/log/wtmp文件。1. 查看指定用户登录记录:执行last username(如last alice)可审计特定账户活动;2. 限制输出行数:使用last -n 10或last -10避免刷屏,便于脚本处理;3. 识别远程登录来源:pts/0后跟随IP表示SSH登录,last -i强制显示IP地址以提升安全监控效率;4. 检查系统重启与关机记录:last reboot显示启动历史,reboot和shutdown条目帮助判断宕机或维护情况。结合管道与grep(如last | grep “ssh”)可筛选登录方式,是运维中高效的安全分析工具。
last命令是Linux系统中用于查看用户登录历史的强大工具,它读取/var/log/wtmp文件并以可读格式展示登录记录。掌握一些实用技巧能帮助系统管理员快速排查问题、分析安全事件或了解系统使用情况。
1. 查看指定用户的登录记录
如果只想查看某个用户的登录历史,可以直接在last后跟用户名:
last username —— 显示该用户的所有登录记录 例如:last alice 可查看用户alice的登录时间、来源IP和登出时间
这在审计特定账户活动时非常有用,比如怀疑账户异常登录时快速定位时间点。
2. 限制输出行数避免刷屏
默认情况下last会输出大量记录,可通过-n参数控制显示条目数量:
last -n 10 或简写为 last -10 —— 仅显示最近10条记录 适合快速查看最新登录情况,尤其在脚本中处理数据时防止输出过多
3. 识别远程登录来源(IP地址)
last会显示登录终端和来源主机名或IP:
看到类似 pts/0 192.168.1.100 的条目表示SSH远程登录 若显示主机名而非IP,可用 last -i 强制显示IP地址(忽略反向DNS解析) 有助于识别潜在的外部访问行为,提升安全监控效率
4. 检查系统重启与关机记录
last不仅记录用户登录,还保存系统重启和关机事件:
reboot 条目显示每次系统启动时间 shutdown 条目对应关机操作 通过这些信息可以判断系统是否意外宕机或计划内维护
例如输入last reboot即可专门查看系统启动历史。
基本上就这些。灵活使用last配合管道和grep,比如last | grep “ssh”,还能进一步筛选特定类型的登录方式。它是日常运维中不可或缺的小而精工具。
以上就是Linux命令行中last命令的实用技巧的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/7031.html
微信扫一扫 
支付宝扫一扫 
