Linux 登陸痕跡查看

如果要管理多用戶系統(tǒng)，通常需要知道連接到計(jì)算機(jī)的人員、時(shí)間和位置。

last是一個(gè)命令行實(shí)用程序，用于顯示有關(guān)系統(tǒng)用戶的最后登錄會(huì)話的信息。當(dāng)你需要跟蹤用戶活動(dòng)，或調(diào)查可能的安全漏洞時(shí)，此功能非常有用。

本文介紹了如何審核使用last命令登錄系統(tǒng)的人員。

如何使用last命令

last命令的語(yǔ)法如下：

last [OPTIONS] [USER] [...]

每次用戶登錄系統(tǒng)時(shí)，該會(huì)話的記錄都會(huì)寫入/var/log/wtmp文件中。last讀取文件wtmp文件并打印有關(guān)用戶登錄和注銷的信息。從最近的記錄開(kāi)始，記錄按時(shí)間倒序打印。

在last沒(méi)有任何選項(xiàng)或參數(shù)的情況下調(diào)用時(shí)，輸出看起來(lái)像這樣：

輸出的每一行從左到右包含以下幾列：

用戶名。系統(tǒng)重新引導(dǎo)或關(guān)閉時(shí)，last顯示特殊用戶reboot和shutdown。會(huì)話所在的tty。:0通常表示用戶正在登錄桌面環(huán)境。用戶登錄的IP地址或主機(jī)名。會(huì)話的開(kāi)始和結(jié)束時(shí)間。會(huì)話持續(xù)時(shí)間。如果會(huì)話仍處于活動(dòng)狀態(tài)或用戶未注銷，last將顯示有關(guān)該會(huì)話的信息，而不是持續(xù)時(shí)間。要輸出特定用戶或tty，請(qǐng)將用戶名或tty作為參數(shù)傳遞給last命令：

last mark last pts/0

還可以指定多個(gè)用戶名和ttys作為參數(shù)：

last mark root pts/0

last 命令選項(xiàng)

last接受幾個(gè)選項(xiàng)，這些選項(xiàng)可以限制，格式化和過(guò)濾輸出。在本節(jié)中，我們將介紹最常見(jiàn)的幾個(gè)用法。

要指定打印的行數(shù)，請(qǐng)將數(shù)字前加單個(gè)連字符 - 傳遞給last。例如，要僅打印最后十個(gè)登錄會(huì)話，輸入：

last -10

使用-p(--present)選項(xiàng)，可以確定誰(shuí)在指定日期登錄了系統(tǒng)。

last -p 2020-01-15

使用-s(--since)和-t(--until)選項(xiàng)，指示last顯示自指定時(shí)間以來(lái)，或直到指定時(shí)間為止的行。

這兩個(gè)選項(xiàng)通常一起使用，以定義要檢索信息的時(shí)間段。例如，要顯示2月13日至2月18日的登錄記錄，可以運(yùn)行：

last -s 2020-02-13 -u 2020-02-18

傳遞給-p，-s，-t選項(xiàng)的日期格式，可以是下面這些：

默認(rèn)情況下，last不顯示秒和年。使用-F，--fulltimes選項(xiàng)查看完整的登錄和注銷時(shí)間和日期：

last -F

-i(--ip)選項(xiàng)強(qiáng)制last始終顯示IP地址，以及使用-d(--dns)來(lái)顯示主機(jī)名：

last -i

寫在最后

其實(shí)，last 只是把常用的文本處理篩選功能做成工具使用了。如果系統(tǒng)管理員想要自己手動(dòng)實(shí)現(xiàn)審核，可以直接對(duì)相關(guān)日志文件操作，靈活且強(qiáng)大。

Happy coding :_)