last命令通过读取/var/log/wtmp文件查看用户登录历史,用于审计安全、排查异常,支持按用户、IP、时间等条件筛选,结合grep等命令可增强分析能力,是Linux系统安全运维的基础工具。
在Linux系统中,last命令是查看用户登录历史最常用且有效的方式。它能帮助系统管理员审计系统安全、排查异常登录行为,以及了解用户的登录活动情况。
last命令基本用法
last命令读取/var/log/wtmp文件,该文件记录了所有用户的登录、注销、系统重启和关机等事件。直接运行last即可显示完整的登录历史:
last
输出示例:
user1 pts/0 192.168.1.100 Mon Apr 5 10:23 – 10:45 (00:22)
reboot system boot 5.4.0-135-generic Mon Apr 5 10:20 still running
user2 tty1 Sun Apr 4 20:15 – down (02:10)
字段说明:
爱派AiPy
融合LLM与Python生态的开源AI智能体
1 查看详情 用户名:登录的用户账户终端:登录所用终端(如pts/0表示SSH,tty1表示本地控制台)来源IP或主机名:远程登录的IP地址登录时间:登录开始时间登出时间:登出时间或持续状态(如still running)持续时间:会话时长
常用选项提升审计效率
使用选项可以更灵活地分析登录记录:
last -n 10:只显示最近10条记录last user1:查看特定用户(如user1)的登录历史last reboot:查看系统重启历史,有助于判断异常重启last -a:将IP地址显示在最后一列,便于日志对齐查看last -x:包含关机、运行级别变更等系统事件
结合其他命令进行安全分析
单独使用last可能不够全面,可以结合其他工具增强审计能力:
last | grep “192.168.1.200”:查找来自特定IP的登录记录last | grep “still running”:检查当前仍在运行的会话last -F:显示完整时间戳(含年份),适合跨月日志分析与lastlog命令对比:lastlog显示每个用户最后一次登录,而last显示所有历史记录
注意:/var/log/wtmp是二进制文件,不能用cat直接查看。若该文件被清空或删除,last将无输出。定期备份wtmp文件有助于长期审计。
常见安全排查场景
发现陌生用户名或IP地址登录,可能表示账户泄露大量失败登录后出现成功登录,可能是暴力破解成功非工作时间的登录行为需重点关注多次快速登录登出,可能为脚本探测行为
基本上就这些。合理使用last命令,能快速掌握用户登录动态,是Linux系统安全审计的基础手段。结合日志轮转和集中日志管理,可进一步提升运维效率与安全性。
以上就是如何在Linux中查看用户登录历史 Linux last命令审计分析的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/807859.html
微信扫一扫 
支付宝扫一扫 
