Last

来自linux中国网wiki
跳到导航 跳到搜索

作用

linux系统中last命令的作用是显示近期用户或终端的登录情况,它的使用权限是所有用户。通过last命令查看该程序的log,管理员可以获知谁曾经或企图连接系统。 

Sample execution of last:

evan@evanpc:~/images$ last
evan     pts/2        192.168.30.54    Sat Sep 23 14:33   still logged in
evan     tty2         :0               Wed Sep 20 17:20   still logged in
evan     tty5         :0               Wed Sep 20 14:28 - down   (02:18)

第一列告诉谁是用户

第二列给出了用户如何连接的信息
pts/0 (伪终端,Pseudo Terminal) 意味着从诸如SSH或telnet的远程连接的用户
tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户
除了重启活动,所有状态会在启动时显示

第三列显示用户来自哪里。如果用户来自于远程计算机,你会看到一个主机名或者IP地址。如果你看见:0.0 或者什么都没有,这意味着用户通过本地终端连接。除了重启活动,内核版本会显示在状态中。
剩下的列显示日志活动发生在何时。括号中的数字告诉我们连接持续了多少小时和分钟。

Usage

-n, --limit <number> how many lines to show
当你有很多行要显示时,你可以限制你想看到的行的数目.使用 -n 参数来这么做。

-F, --fulltimes      print full login and logout times and dates
显示完整登入登出时间日期

last reboot
或者你想要知道reboot何时完成,你也可以这样显示它:

打印特定 / pts
last同样可以打印特定tty/pts的信息. 只要在last命令后面输入tty名字或者pty名字。

last pts/0

leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)
pungki pts/0 :0.0 Wed Nov 27 20:28 – down (04:56)
当你看到 down 的值 - 比如上面的第二行,它意味着用户从某个时间登录直到系统重启或关机。

查看失败登录
last命令用了记录成功登录,而 lastb 命令记录失败的登录尝试。你必须拥有root权限才能运行lastb命令。这里有一个lastb命令的示例输出。lastb会解析/var/log/btmp的信息。

linux 查看关机记录

last | grep reboot 

last | grep shutdown 

或在/var/log/messages日志中查询reboot (系统重启) 或者halt(系统关机)。当然,也可以使用以下两条命令查询: 

grep reboot /var/log/messages 

grep halt /var/log/messages 

See Also(参见)

Unix实用程序列表

External links

深入了解linux下的last命令及其数据源 linux 查看关机记录 last

Built in Audit Trail Tool - Last Command in Linux

Linux内置的审计跟踪工具 - last命令