2021-05-12 14:32:11
Linux系統入門學習:Linux中的last命令
2020-06-16 18:02:56
last命令是列出目前與過去登入系統的使用者的相關資訊。它的主要引數有:
(1)-a把登入系統的主機名或者IP地址,顯示在最後一行。
(2)-d把IP地址轉換成主機名。
(3)-f <記錄檔案> 指定記錄檔案。
(4)-n <顯示列數>或者-<顯示列數> 設定列出名單的顯示列數
(5)-R 不顯示登入系統的主機名或者IP地址
(6)-x顯示系統關機、重新啟動、以及執行等級改變等資訊。
Linux內建的審計跟蹤工具 - last命令 http://www.linuxidc.com/Linux/2014-02/96688.htm
命令簡介:
該命令用來列出目前與過去登入系統的使用者相關資訊。指令英文原義:show listing of last logged in users
執行許可權 :有些需要特殊許可權
指令所在路徑:/usr/bin/last
執行last指令時,它會讀取位於/var/log目錄下名稱為wtmp的檔案,並把該給檔案的內容記錄的登入系統的使用者名稱單全部顯示出來。預設是顯示wtmp的記錄,btmp能顯示的更詳細,可以顯示遠端登入,例如ssh登入。
utmp檔案中儲存的是當前正在本系統中的使用者的資訊。
wtmp檔案中儲存的是登入過本系統的使用者的資訊。
命令輸出欄位介紹:
第一列:使用者名稱
第二列:終端位置。pts/0 (偽終端) 意味著從諸如SSH或telnet的遠端連線的使用者.tty (teletypewriter) 意味著直接連線到計算機或者本地連線的使用者
第三列:登入ip或者核心 。如果你看見:0.0 或者什麼都沒有,這意味著使用者通過本地終端連線。除了重新啟動活動,核心版本會顯示在狀態中。
第四列:開始時間
第五列:結束時間(still login in 還未退出 down 直到正常關機 crash 直到強制關機)
第六列:持續時間
命令語法:
last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]
命令引數:
|
引數 |
長引數 |
描敘 |
|
-a |
將登入系統的的主機名稱或IP地址,顯示在最後一行 |
|
|
-d |
將IP地址轉換成主機名稱 |
|
|
-f |
指定記錄檔案,預設是顯示/var/log目錄下的wtmp檔案的記錄,但/var/log目錄下得btmp能顯示的內容更豐富,可以顯示遠端登入,例如ssh登入 ,包括失敗的登入請求。 |
|
|
-i |
-i顯示特定ip登入的情況。跟蹤用 -i顯示特定ip登入的情況。跟蹤用 |
|
|
-o |
Read an old-type wtmp file (written by linux-libc5 applications). |
|
|
-n |
-n <顯示列數>或-<顯示列數> 設定列出名單的顯示列數 |
|
|
-w |
Display full user and domain names in the output |
|
|
-R |
不顯示登入系統的主機名稱或IP(省略 hostname 的欄位) |
|
|
-t |
顯示YYYYMMDDHHMMSS之前的資訊 |
|
|
-x |
顯示系統關閉、使用者登入和退出的歷史 |
使用範例:
1:檢視last命令的幫助資訊
[root@linuxidc ~]# man last
[root@linuxidc ~]# last -h
last: invalid option -- h
Usage: last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-x] [-o] [-w] [username..] [tty..]
2:顯示最後登入系統的N條記錄
[root@linuxidc ~]#last -10
root pts/1 :0.0 Wed Dec 18 09:54 still logged in
root pts/4 :0.0 Wed Dec 18 09:43 - 09:48 (00:04)
root pts/1 :0.0 Wed Dec 18 09:43 - 09:48 (00:05)
root pts/3 192.168.103.79 Wed Dec 18 09:41 - 12:40 (02:59)
root pts/4 :0.0 Wed Dec 18 09:28 - 09:30 (00:01)
root pts/3 :0.0 Wed Dec 18 09:27 - 09:30 (00:02)
root pts/2 192.168.103.29 Wed Dec 18 09:27 still logged in
root pts/1 :0.0 Wed Dec 18 09:27 - 09:42 (00:15)
root pts/2 :0.0 Wed Dec 18 09:23 - 09:25 (00:01)
root pts/1 :0.0 Wed Dec 18 09:22 - 09:25 (00:02)
wtmp begins Wed Dec 11 03:02:17 2013
[root@linuxidc ~]# last -n 10
root pts/1 :0.0 Wed Dec 18 09:54 still logged in
root pts/4 :0.0 Wed Dec 18 09:43 - 09:48 (00:04)
root pts/1 :0.0 Wed Dec 18 09:43 - 09:48 (00:05)
root pts/3 192.168.103.79 Wed Dec 18 09:41 - 12:40 (02:59)
root pts/4 :0.0 Wed Dec 18 09:28 - 09:30 (00:01)
root pts/3 :0.0 Wed Dec 18 09:27 - 09:30 (00:02)
root pts/2 192.168.103.29 Wed Dec 18 09:27 still logged in
root pts/1 :0.0 Wed Dec 18 09:27 - 09:42 (00:15)
root pts/2 :0.0 Wed Dec 18 09:23 - 09:25 (00:01)
root pts/1 :0.0 Wed Dec 18 09:22 - 09:25 (00:02)
wtmp begins Wed Dec 11 03:02:17 2013
3:將登入系統的主機名或IP地址顯示在最後一行
[root@linuxidc ~]# last -10 -a
root pts/1 Wed Dec 18 09:54 still logged in :0.0
root pts/4 Wed Dec 18 09:43 - 09:48 (00:04) :0.0
root pts/1 Wed Dec 18 09:43 - 09:48 (00:05) :0.0
root pts/3 Wed Dec 18 09:41 - 12:40 (02:59) 192.168.103.79
root pts/4 Wed Dec 18 09:28 - 09:30 (00:01) :0.0
root pts/3 Wed Dec 18 09:27 - 09:30 (00:02) :0.0
root pts/2 Wed Dec 18 09:27 still logged in 192.168.103.29
root pts/1 Wed Dec 18 09:27 - 09:42 (00:15) :0.0
root pts/2 Wed Dec 18 09:23 - 09:25 (00:01) :0.0
root pts/1 Wed Dec 18 09:22 - 09:25 (00:02) :0.0
wtmp begins Wed Dec 11 03:02:17 2013
4:不顯示登入系統的主機名稱或IP地址
[root@linuxidc ~]# last -10 -R
root pts/1 Wed Dec 18 09:54 still logged in
root pts/4 Wed Dec 18 09:43 - 09:48 (00:04)
root pts/1 Wed Dec 18 09:43 - 09:48 (00:05)
root pts/3 Wed Dec 18 09:41 - 12:40 (02:59)
root pts/4 Wed Dec 18 09:28 - 09:30 (00:01)
root pts/3 Wed Dec 18 09:27 - 09:30 (00:02)
root pts/2 Wed Dec 18 09:27 still logged in
root pts/1 Wed Dec 18 09:27 - 09:42 (00:15)
root pts/2 Wed Dec 18 09:23 - 09:25 (00:01)
root pts/1 Wed Dec 18 09:22 - 09:25 (00:02)
wtmp begins Wed Dec 11 03:02:17 2013
5: 指定/var/log/btmp檔案,檢視登入系統的使用者相關資訊
[root@linuxidc ~]# last -n 10 -f /var/log/btmp
root ssh:notty 192.168.136.163 Fri Oct 17 18:16 gone - no logout
root ssh:notty 192.168.136.163 Fri Oct 17 09:50 - 18:16 (08:26)
root ssh:notty 192.168.136.163 Fri Oct 17 09:50 - 09:50 (00:00)
root ssh:notty 192.168.40.218 Tue Jul 23 17:40 - 09:50 (450+16:10)
root ssh:notty 192.168.236.149 Sun Apr 14 01:34 - 17:40 (100+16:05)
root ssh:notty 192.168.178.147 Fri Mar 8 17:25 - 01:34 (36+08:08)
tomcat ssh:notty get185806.gfg1.e Fri Oct 26 16:48 - 17:25 (133+00:37)
root ssh:notty 192.168.193.3 Mon Oct 22 18:13 - 16:48 (3+22:34)
root ssh:notty 192.168.193.3 Mon Oct 22 18:13 - 18:13 (00:00)
devloper ssh:notty get185819.gfg1.e Wed Oct 17 17:22 - 18:13 (5+00:50)
btmp begins Thu Apr 12 14:30:06 2012
6: 將IP地址轉換成主機名稱
last -10 -d
clip_image001
7: 顯示YYYYMMDDHHMMSS(20150110093000)之前的資訊
[root@linuxidc ~]# last -10 -t 20150110093000
root pts/2 192.168.102.186 Fri Jan 9 15:35 - 17:27 (01:52)
root pts/2 192.168.102.134 Thu Jan 8 10:25 - 12:27 (02:02)
root pts/3 192.168.125.53 Tue Jan 6 23:59 - 00:09 (00:09)
root pts/2 192.168.125.53 Tue Jan 6 23:45 - 00:09 (00:23)
root pts/3 192.168.102.88 Tue Jan 6 15:23 - 16:20 (00:57)
root pts/2 192.168.102.88 Tue Jan 6 15:08 - 17:25 (02:16)
Oracle pts/1 :2.0 Tue Jan 6 15:07 still logged in
reboot system boot 2.6.32-200.13.1. Tue Jan 6 15:07 (7+20:21)
root pts/2 192.168.102.88 Tue Jan 6 14:47 - down (00:17)
oracle pts/1 :2.0 Tue Jan 6 14:46 - down (00:18)
wtmp begins Wed Apr 11 16:31:10 2012
本文永久更新連結地址:http://www.linuxidc.com/Linux/2015-04/115846.htm
相關文章