要查看linux系统中用户的登录历史记录,使用last命令即可。1.直接输入last可查看所有用户最近的登录、登出信息,包括用户名、时间、ip等;2.使用last -n x可显示最近x条记录;3.输入last username可查询特定用户的登录历史;4.使用last -f /var/log/btmp或lastb可查看失败的登录尝试;5.结合watch last -n 10可实时监控最新的登录活动。
想知道怎么查看linux系统中用户的登录历史记录?其实方法很简单,last 命令就能搞定。它能帮你快速查到谁在什么时候登录过系统,甚至还能看到远程登录尝试的情况。
用 last 查看登录记录的基本操作
last 是 Linux 自带的工具,直接输入命令就能看到所有用户最近的登录和登出情况。它读取的是 /var/log/wtmp 文件的内容。
比如你只需要在终端输入:
last
就会列出完整的登录历史记录,包括用户名、登录时间、来源 IP(如果是远程登录)、以及登出时间等信息。
如果你想只看前几条记录,可以加上 -n 参数,例如显示最近5次登录:
last -n 5
这样可以更聚焦地查看最新的活动情况。
查看特定用户的登录记录
如果你只想查某个用户的登录历史,那也很方便。只需在 last 后面加上用户名即可。
比如要查用户 john 的登录记录:
last john
这会列出该用户的所有登录信息,适合管理员排查问题或审计用户行为。
有时候你可能还会看到类似 reboot 或 shutdown 的记录,这些不是用户登录事件,而是系统重启或关机的日志。它们也会被 last 显示出来,但不用太担心,属于正常现象。
查看失败的登录尝试(btmp)
除了正常的登录记录,你可能还想了解有没有人试图非法登录你的系统。这时候就要查看 /var/log/btmp 文件了。
使用下面这个命令:
last -f /var/log/btmp
或者你可以直接使用:
lastb
这个命令专门用来显示失败的登录尝试。如果发现大量失败记录,尤其是来自陌生 IP 的尝试,那就需要注意系统安全了。
更多实用技巧
-
查看关机/重启记录
系统重启和关机的信息也包含在 last 输出里,通常能看到一行写着 system boot 或 shutdown 的内容,表示系统启动和关闭的时间点。 -
实时监控登录活动
虽然 last 只是静态查看历史记录,但你可以结合 watch 命令来持续观察新出现的登录行为:watch last -n 10
这样每两秒刷新一次最近10条记录,适合临时监控服务器访问情况。
基本上就这些。别看它功能强大,用起来其实挺简单的,不过有些细节比如日志文件路径、命令参数组合容易忽略,建议平时多留意记录的变化规律。
