last命令用于查看Linux用户登录历史,读取/var/log/wtmp文件,显示登录、注销及系统重启记录;通过last -n、-f、-x等选项可提升审计效率,结合lastb、lastlog、journalctl等命令增强安全分析;需注意日志轮转与远程日志存储,定期检查root登录与异常行为,有效提升系统安全性。
在Linux系统中,了解用户登录历史是系统管理和安全审计的重要环节。通过查看登录记录,管理员可以追踪用户行为、排查异常登录、识别潜在的安全威胁。其中,last 命令是最常用且功能强大的工具之一。
last 命令基本用法
last 命令读取系统日志文件(通常是 /var/log/wtmp),显示自系统安装或日志轮转以来所有用户的登录和注销记录。
直接运行以下命令即可查看登录历史:
last
输出示例:
user1 pts/0 192.168.1.100 Mon Apr 5 10:30 – 11:15 (00:45)
reboot system boot 5.4.0-135-generic Mon Apr 5 08:20 – 12:00 (3+03:40)
user2 :0 :0 Sun Apr 4 18:00 – down (02:10)
各列含义如下:
用户名:登录的用户名称,reboot 表示系统重启记录终端:登录所使用的终端,如 pts/0(伪终端)、:0(图形界面)来源IP或主机名:远程登录的IP地址,本地登录显示 :0登录时间:会话开始时间登出时间:会话结束时间,crash 表示非正常退出,still logged in 表示仍在登录中持续时间:会话时长
常用选项提升审计效率
last 支持多种参数,帮助快速定位关键信息。
Midjourney
当前最火的AI绘图生成工具,可以根据文本提示生成华丽的视觉图片。
454 查看详情 last -n 10:只显示最近10条记录last user1:查看指定用户的登录历史last -f /var/log/wtmp.1:查看旧的 wtmp 文件(归档日志)last -x:显示关机、重启和运行级别变更记录last -a:将IP地址显示在最后一列,便于查看远程来源
结合其他命令进行安全分析
单独使用 last 可能不够全面,结合其他命令可增强审计能力。
lastb:查看失败的登录尝试(读取 /var/log/btmp),需谨慎使用,避免日志过大lastlog:显示每个用户最后一次登录时间,使用 /var/log/lastlogjournalctl:对于使用 systemd 的系统,可通过 journalctl _COMM=sshd 查看SSH登录详情
例如,查找所有失败的SSH登录:
lastb | grep ssh
注意事项与日志管理
使用 last 时需注意以下几点:
wtmp 文件会持续增长,建议启用 logrotate 定期归档日志文件可能被恶意用户清除,建议配置远程日志服务器(如 rsyslog)root 用户的登录记录尤其重要,应定期检查是否出现异常登录若系统长时间运行,可结合 last | grep “reboot” 分析重启周期
基本上就这些。掌握 last 命令的使用,配合系统日志分析,能有效提升Linux系统的可审计性和安全性。不复杂但容易忽略。
以上就是如何在Linux中查看登录历史 Linux last命令审计分析的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/937057.html
微信扫一扫 
支付宝扫一扫 
