CentOS下查看最后登錄的用戶信息
tail /var/log/messages
tail /var/log/secure
我們知道,在redhat下可以用lastlog查看各用戶最后登錄的信息,用last可以查看指定用戶的登錄信息。
查看用戶登陸信息:
last
命令詳解
功能說明:列出目前與過去登入系統的用戶相關信息。
語 法:last [-adRx][-f <記錄文件>][-n <顯示列數>][帳號名稱...][終端機編號...]
補充說明:單獨執行last指令,它會讀取位於/var/log目錄下,名稱為wtmp的文件,並把該給文件的內容記錄的登入系統的用戶名單全部顯示出來。
參 數:
-a 把從何處登入系統的主機名稱或IP地址,顯示在最后一行。
-d 將IP地址轉換成主機名稱。
-f <記錄文件> 指定記錄文件。
-n <顯示列數>或-<顯示列數> 設置列出名單的顯示列數。
-R 不顯示登入系統的主機名稱或IP地址。
-x 顯示系統關機,重新開機,以及執行等級的改變等信息。
lastlog
只是記錄每個用戶上次登錄的時間,/var/log/lastlog
例如:查看root和admin在最近20天內是否有登錄:
#lastlog -t 20|egrep "root|admin"
查看最近20天內登錄的用戶,除root和admin之外:
#lastlog -t 20|egrep -v "root|admin"
首先簡單介紹一下Centos中記錄登陸信息的日志文件有關當前登錄用戶的信息記錄在文件utmp中;登錄進入和退出紀錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察看。
數據交換、關機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。
每次有一個用戶登錄時,login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時間和主機名寫到標准輸出中,然后login程序在lastlog中紀錄新的登錄時間。
在新的lastlog紀錄寫入后,utmp文件打開並插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。
下一步,login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登錄退出時,具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。
wtmp和utmp文件都是二進制文件,用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。
下面來說如何查看Centos用戶登陸日志。
1.who:who命令查詢utmp文件並報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。例如:who(回車)顯示
| 代碼如下 | 復制代碼 |
| root pts/0 2014-03-04 10:03 (218.2.11.178) |
|
2.如果指明了wtmp文件名,則who命令查詢以前所有的登陸紀錄。使用命令who /var/log/wtmp查看所有登陸記錄,結果如下:
| 代碼如下 | 復制代碼 |
| lxy ftpd5946 2013-01-09 16:48 (218.2.11.178) |
|
3.last:last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如:
| 代碼如下 | 復制代碼 |
| root pts/0 218.2.11.178 Tue Mar 4 10:03 still logged in
|
|