Linux 登陸痕跡查看

如果要管理多用戶系統(tǒng)，通常需要知道連接到計算機(jī)的人員、時間和位置。

last是一個命令行實用程序，用于顯示有關(guān)系統(tǒng)用戶的最后登錄會話的信息。當(dāng)你需要跟蹤用戶活動，或調(diào)查可能的安全漏洞時，此功能非常有用。

本文介紹了如何審核使用last命令登錄系統(tǒng)的人員。

如何使用last命令

last命令的語法如下：

last [OPTIONS] [USER] [...]

每次用戶登錄系統(tǒng)時，該會話的記錄都會寫入/var/log/wtmp文件中。last讀取文件wtmp文件并打印有關(guān)用戶登錄和注銷的信息。從最近的記錄開始，記錄按時間倒序打印。

在last沒有任何選項或參數(shù)的情況下調(diào)用時，輸出看起來像這樣：

輸出的每一行從左到右包含以下幾列：

用戶名。系統(tǒng)重新引導(dǎo)或關(guān)閉時，last顯示特殊用戶reboot和shutdown。會話所在的tty。:0通常表示用戶正在登錄桌面環(huán)境。用戶登錄的IP地址或主機(jī)名。會話的開始和結(jié)束時間。會話持續(xù)時間。如果會話仍處于活動狀態(tài)或用戶未注銷，last將顯示有關(guān)該會話的信息，而不是持續(xù)時間。要輸出特定用戶或tty，請將用戶名或tty作為參數(shù)傳遞給last命令：

last mark last pts/0

還可以指定多個用戶名和ttys作為參數(shù)：

last mark root pts/0

last 命令選項

last接受幾個選項，這些選項可以限制，格式化和過濾輸出。在本節(jié)中，我們將介紹最常見的幾個用法。

要指定打印的行數(shù)，請將數(shù)字前加單個連字符 - 傳遞給last。例如，要僅打印最后十個登錄會話，輸入：

last -10

使用-p(--present)選項，可以確定誰在指定日期登錄了系統(tǒng)。

last -p 2020-01-15

使用-s(--since)和-t(--until)選項，指示last顯示自指定時間以來，或直到指定時間為止的行。

這兩個選項通常一起使用，以定義要檢索信息的時間段。例如，要顯示2月13日至2月18日的登錄記錄，可以運行：

last -s 2020-02-13 -u 2020-02-18

傳遞給-p，-s，-t選項的日期格式，可以是下面這些：

默認(rèn)情況下，last不顯示秒和年。使用-F，--fulltimes選項查看完整的登錄和注銷時間和日期：

last -F

-i(--ip)選項強(qiáng)制last始終顯示IP地址，以及使用-d(--dns)來顯示主機(jī)名：

last -i

寫在最后

其實，last 只是把常用的文本處理篩選功能做成工具使用了。如果系統(tǒng)管理員想要自己手動實現(xiàn)審核，可以直接對相關(guān)日志文件操作，靈活且強(qiáng)大。

Happy coding :_)