[root@localhost ~]# w 11:01:06 up 3 days, 12:40, 1 user, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/1 10.0.2.2 254月20 2.00s 0.32s 0.00s w [root@localhost ~]# who root pts/1 2020-04-25 09:03 (10.0.2.2) [root@localhost ~]# last root pts/1 10.0.2.2 Sat Apr 25 09:03 still logged in root pts/0 10.0.2.2 Sat Apr 25 08:52 - 23:11 (4+14:19) root pts/0 10.0.2.2 Sat Apr 25 08:21 - 08:37 (00:16) root pts/1 10.0.2.2 Thu Apr 23 23:09 - 08:13 (1+09:03) root pts/1 10.0.2.2 Thu Apr 23 22:23 - 23:09 (00:45) root pts/0 10.0.2.2 Thu Apr 23 22:23 - 08:18 (1+09:54) root pts/0 10.0.2.2 Thu Apr 16 22:34 - 22:00 (6+23:25) reboot system boot 3.10.0-327.4.5.e Thu Apr 16 22:34 - 11:01 (14+12:27) root pts/0 10.0.2.2 Thu Apr 16 21:51 - crash (00:43) root pts/0 10.0.2.2 Thu Apr 16 21:40 - 21:50 (00:10) reboot system boot 3.10.0-327.4.5.e Thu Apr 16 21:40 - 11:01 (14+13:21) reboot system boot 3.10.0-327.4.5.e Thu Apr 16 21:38 - 11:01 (14+13:22) reboot system boot 3.10.0-327.4.5.e Wed Jan 27 20:50 - 19:51 (00:-58) reboot system boot 3.10.0-327.el7.x Wed Jan 27 20:47 - 19:51 (00:-55) wtmp begins Wed Jan 27 20:47:08 2016 [root@localhost ~]#
lastlog 查看所有用戶最后一次登錄信息
who 命令顯示關於當前在本地系統上的所有用戶的信息。顯示以下內容:登錄名、tty、登錄日期和時間。輸入whoami 顯示您的登錄名、tty、您登錄的日期和時間。如果用戶是從一個遠程機器登錄的,那么該機器的主機名也會被顯示出來。
who 命令也能顯示自從線路活動發生以來經過的時間、命令解釋器(shell)的進程標識、登錄、注銷、重新啟動和系統時鍾的變化,還能顯示由初始化進程生成的其它進程。
常見命令參數
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
a 處理
/etc/utmp
文件或有全部信息的指定文件。等同於指定 -bdlprtTu 標志。
-b 指出最近系統啟動的時間和日期。
-d 顯示沒有被 init 重新生成的所有到期的進程。退出字段用於顯示死進程並包含死進程的終止和退出值(由 wait 進程返回的)。(這個標志用於通過察看應用程序返回的錯誤號來確定一個進程的結束原因。)
-l 列出任何登錄進程。
-m 僅顯示關於當前終端的信息。
who
-m 命令等同於
who
am i 和
who
am I 命令。
-p 列出任何當前活動的和以前已由 init 生成的活動進程。
-q 打印一份在本地系統上的用戶和用戶數的快速清單。
-r 顯示當前進程的運行級別。
-s 僅列出名字、線路和時間字段。這個標志是缺省值;因此,
who
和
who
-s 命令是等效的。
-t 顯示 root 用戶上一次用
date
命令對系統時鍾做的更改。如果
date
命令自從系統安裝以來還沒有被運行過,
who
-t 命令就不產生輸出。
-u 或 -i 顯示每個當前用戶的用戶名、
tty
、登錄時間、線路活動和進程標識。
-A 顯示在
/etc/utmp
文件中的所有記帳項。這些項是通過 acctwtmp 命令生成的。
-H 顯示一個頭(標題)。
-T 或 -w 顯示
tty
的狀態並如下顯示誰能夠對
tty
寫入:
|
常見命令展示
|
1
|
who
|
顯示當前用戶的IP信息
|
1
|
who
–m
|
last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-adioxFw] [username..] [tty..]
last作用是顯示近期用戶或終端的登錄情況。通過last命令查看該程序的log,管理員可以獲知誰曾經或者企圖連接系統。
執行last命令時,它會讀取/var/log目錄下名稱為wtmp的文件,並把該文件記錄的登錄系統或終端的用戶名單全部顯示出來。默認顯示wtmp的記錄,btmp能顯示的更詳細,可以顯示遠程登錄,例如ssh登錄。
|
1
2
3
4
|
-num |-n num指定輸出記錄的條數
-f file 指定記錄文件作為查詢的log文件
-t YYYYMMDDHHMMSS 顯示指定時間之前的登錄情況
username 賬戶名稱<
br
>tty 終端機編號
|
(1).選項
|
1
2
3
4
5
6
7
8
|
-R 不顯示登錄系統或終端的主機名稱或IP
-a 將登錄系統或終端的主機名過IP地址顯示在最后一行
-d 將IP地址轉成主機名稱
-I 顯示特定IP登錄情況。
-o 讀取有linux-libc5應用編寫的舊類型wtmp文件
-x 顯示系統關閉、用戶登錄和退出的歷史
-F 顯示登錄的完整時間
-w 在輸出中顯示完整的用戶名或域名
|
(2).實例
第一列:用戶名
第二列:終端位置(pts/0偽終端,意味着從SSH或telnet等工具遠程連接的用戶,圖形界面終端歸於此類。tty0直接連接到計算機或本地連接的用戶。后面的數字代表連接編號)
第三列:登錄IP或內核(如果是:0.0或者什么都沒有,意味着用戶通過本地終端連接。除了重啟活動,內核版本會顯示在狀態中)
第四列:開始時間
第五列:結束時間(still login in尚未退出,down直到正常關機,crash直到強制關機)
第六列:持續時間
指定顯示記錄的數量(顯示記錄中最后登錄的數量)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
[root@CentOS6 桌面]# last -n 10
root pts/0 :0.0 Wed Apr 25 10:12 still logged
in
root pts/1 :0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 :0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 :0.0 Wed Apr 25 10:02 - 10:06 (00:04)
root pts/0 :0.0 Wed Apr 25 09:51 - 09:51 (00:00)
root pts/0 :0.0 Wed Apr 25 09:45 - 09:51 (00:05)
root pts/1 :0.0 Wed Apr 25 09:38 - 09:41 (00:02)
root pts/0 :0.0 Wed Apr 25 09:34 - 09:45 (00:11)
root pts/0 :0.0 Tue Apr 17 10:46 - 10:48 (00:02)
root pts/0 :0.0 Tue Apr 17 10:33 - 10:46 (00:13)
wtmp begins Tue Mar 13 18:31:47 2018
[root@CentOS6 桌面]# last -10
root pts/0 :0.0 Wed Apr 25 10:12 still logged
in
root pts/1 :0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 :0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 :0.0 Wed Apr 25 10:02 - 10:06 (00:04)
root pts/0 :0.0 Wed Apr 25 09:51 - 09:51 (00:00)
root pts/0 :0.0 Wed Apr 25 09:45 - 09:51 (00:05)
root pts/1 :0.0 Wed Apr 25 09:38 - 09:41 (00:02)
root pts/0 :0.0 Wed Apr 25 09:34 - 09:45 (00:11)
root pts/0 :0.0 Tue Apr 17 10:46 - 10:48 (00:02)
root pts/0 :0.0 Tue Apr 17 10:33 - 10:46 (00:13)
wtmp begins Tue Mar 13 18:31:47 2018
|
指定查詢的文件,原本默認的是wtmp
|
1
2
3
|
[root@CentOS6 桌面]# last -10 -f /
var
/log/btmp
root tty1 :0 Mon Apr 16 09:07 gone - no logout
btmp begins Mon Apr 16 09:07:03 2018
|
將IP 地址轉換為主機地址
|
1
2
3
4
5
6
7
8
9
10
11
12
|
[root@CentOS6 桌面]# last -10 -d
root pts/0 0.0.0.0 Wed Apr 25 10:12 still logged
in
root pts/1 0.0.0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 0.0.0.0 Wed Apr 25 10:06 - 10:10 (00:03)
root pts/0 0.0.0.0 Wed Apr 25 10:02 - 10:06 (00:04)
root pts/0 0.0.0.0 Wed Apr 25 09:51 - 09:51 (00:00)
root pts/0 0.0.0.0 Wed Apr 25 09:45 - 09:51 (00:05)
root pts/1 0.0.0.0 Wed Apr 25 09:38 - 09:41 (00:02)
root pts/0 0.0.0.0 Wed Apr 25 09:34 - 09:45 (00:11)
root pts/0 0.0.0.0 Tue Apr 17 10:46 - 10:48 (00:02)
root pts/0 0.0.0.0 Tue Apr 17 10:33 - 10:46 (00:13)
wtmp begins Tue Mar 13 18:31:47 2018
|
顯示指定時間之前的記錄
|
1
2
3
4
5
6
7
8
9
10
11
12
|
[root@CentOS6 桌面]# last -10 -t 20180425000000
//之所以展示出來是為了提醒下-t后面的時間寫法
root pts/0 :0.0 Tue Apr 17 10:46 - 10:48 (00:02)
root pts/0 :0.0 Tue Apr 17 10:33 - 10:46 (00:13)
root pts/0 :0.0 Tue Apr 17 10:26 - 10:26 (00:00)
root tty2 Tue Apr 17 10:23 - 10:23 (00:00)
root pts/0 :0.0 Tue Apr 17 10:22 - 10:22 (00:00)
root pts/0 :0.0 Tue Apr 17 10:22 - 10:22 (00:00)
root tty1 :0 Tue Apr 17 09:49 still logged
in
reboot system boot 2.6.32-642.el6.x Tue Apr 17 09:48 - 10:21 (8+00:32)
root pts/0 :0.0 Mon Apr 16 16:13 - 16:20 (00:07)
root pts/0 :0.0 Mon Apr 16 15:39 - 16:13 (00:33)
wtmp begins Tue Mar 13 18:31:47 2018
|
Linux w命令用於顯示目前登入系統的用戶信息。
執行這項指令可得知目前登入系統的用戶有哪些人,以及他們正在執行的程序。
單獨執行 w 指令會顯示所有的用戶,您也可指定用戶名稱,僅顯示某位用戶的相關信息。
語法
w [-fhlsuV][用戶名稱]
參數說明:
- -f 開啟或關閉顯示用戶從何處登入系統。
- -h 不顯示各欄位的標題信息列。
- -l 使用詳細格式列表,此為預設值。
- -s 使用簡潔格式列表,不顯示用戶登入時間,終端機階段作業和程序所耗費的CPU時間。
- -u 忽略執行程序的名稱,以及該程序耗費CPU時間的信息。
- -V 顯示版本信息。