如何查找谁登录过你的linux系统?linux何时执行的重启、关机操作?linux last 使用详解
作为一个linux运维管理员,你是否对谁登录过你的系统、何时登录、何时退出、从哪里登录深感疑虑。last命令为你解锁,它能够展示谁通过那个ip在什么时间登录到系统,以及在何时退出登录系统。并且能够展示系统什么时候linux执行了重启、关机操作。linux系统中一切皆文件,关于对linux 用户登录系统的记录,保存在/var/log/wtmp文件中,last命令能够展示子wtmp文件创建以来的所有登录、退出、关机、重启、运行级别切换的所有记录。
命令
last 选项 参数
常用参数
-a: 将从何处登录的IP或主机名字,放到展示列的最后一列
-n: 输出多少行记录信息
-R: 为了安全,不输出从何处登录的IP信息
-x: 只显示关机、重启、等级切换的信息
使用场景
1. 如何查看谁登录过本系统?
last
以默认方式展示登录过本系统的用户、终端、登录ip、时间、动作。对展示的结果列进行说明,如下所示:
| yy/reboot/shutdown | pts/2 | 192.168.31.9 | Sun Aug 21 05:27 still | logged in |
|---|---|---|---|---|
| 用户名/重启关闭动作 | 终端 | 登录客户端IP | 登录时间-结束时间 | 登录/退出/时长 |
2. 如何只显示linux 用户最近的3条登录退出信息?
last -n 3
- -n: 展示多少行
- logged in:登录
- logout:退出
3. 如何查看linux 关机、重启、运行级别切换记录
last -x -n 10
- reboot:重启
- shutdown:关机
- runlevel:运行级别切换
4. 为了安全起见,如何屏蔽登录IP地址的显示?
last -R -n 10
5. 将登录ip地址,放到最后一列显示?
last -a -n 10
查看一段时间内登录系统的用户?
last -s yesterday -t today
支持的时间格式如下所示:
YYYYMMDDhhmmss
YYYY-MM-DD hh:mm:ss
YYYY-MM-DD hh:mm (seconds will be set to 00)
YYYY-MM-DD (time will be set to 00:00:00)
hh:mm:ss (date will be set to today)
hh:mm (date will be set to today, seconds to 00)
now
yesterday (time is set to 00:00:00)
today (time is set to 00:00:00)
tomorrow (time is set to 00:00:00)
+5min
-5days
扫码关注更多linux命令详解
