last命令用于查看Linux用户登录历史,读取/var/log/wtmp文件。1. 查看指定用户登录记录:执行last username(如last alice)可审计特定账户活动;2. 限制输出行数:使用last -n 10或last -10避免刷屏,便于脚本处理;3. 识别远程登录来源:pts/0后跟随IP表示SSH登录,last -i强制显示IP地址以提升安全监控效率;4. 检查系统重启与关机记录:last reboot显示启动历史,reboot和shutdown条目帮助判断宕机或维护情况。结合管道与grep(如last | grep “ssh”)可筛选登录方式,是运维中高效的安全分析工具。
last命令是Linux系统中用于查看用户登录历史的强大工具,它读取/var/log/wtmp文件并以可读格式展示登录记录。掌握一些实用技巧能帮助系统管理员快速排查问题、分析安全事件或了解系统使用情况。
1. 查看指定用户的登录记录
如果只想查看某个用户的登录历史,可以直接在last后跟用户名:
- last username —— 显示该用户的所有登录记录
- 例如:last alice 可查看用户alice的登录时间、来源IP和登出时间
这在审计特定账户活动时非常有用,比如怀疑账户异常登录时快速定位时间点。
2. 限制输出行数避免刷屏
默认情况下last会输出大量记录,可通过-n参数控制显示条目数量:
- last -n 10 或简写为 last -10 —— 仅显示最近10条记录
- 适合快速查看最新登录情况,尤其在脚本中处理数据时防止输出过多
3. 识别远程登录来源(IP地址)
last会显示登录终端和来源主机名或IP:
巧文书巧文书是一款AI写标书、AI写方案的产品。通过自研的先进AI大模型,精准解析招标文件,智能生成投标内容。
8
8- 看到类似 pts/0 192.168.1.100 的条目表示SSH远程登录
- 若显示主机名而非IP,可用 last -i 强制显示IP地址(忽略反向DNS解析)
- 有助于识别潜在的外部访问行为,提升安全监控效率
4. 检查系统重启与关机记录
last不仅记录用户登录,还保存系统重启和关机事件:
- reboot 条目显示每次系统启动时间
- shutdown 条目对应关机操作
- 通过这些信息可以判断系统是否意外宕机或计划内维护
例如输入last reboot即可专门查看系统启动历史。
基本上就这些。灵活使用last配合管道和grep,比如last | grep “ssh”,还能进一步筛选特定类型的登录方式。它是日常运维中不可或缺的小而精工具。
以上就是Linux命令行中last命令的实用技巧的详细内容
0 条评论