查詢登陸成功的用戶:
last
單獨執行last指令時,它會讀取位於/var/log/wtmp的文件,並把該給文件的內容記錄的登錄系統的用戶名單全部顯示出來。
如果使用tail、cat命令查看這文件,格式對人類不太友好,還是使用命令比較好。
查詢失敗的用戶:
lastb
單獨執行lastb指令,它會讀取位於/var/log/btmp的文件,並把該文件內容記錄的登入系統失敗的用戶名單,全部顯示出來。
列詳解
-
用戶名
顯示成reboot表示:當執行過啟動或者重啟操作在這里會記錄成reboot -
終端位置(有多種形式)
- pts/0 (偽終端或虛擬終端) 意味着從諸如SSH或telnet的遠程連接的用戶
yunwei pts/0 10.x.x.x Thu Aug 6 14:47 - 15:10 (00:23) yunwei pts/1 10.x.x.x Thu Aug 6 14:13 - 14:55 (00:41)- tty (teletypewriter) 意味着直接連接到計算機或者本地連接的用戶
- system boot —— 執行啟動或者重啟操作
reboot system boot 3.10.0-693.el7.x Mon Dec 9 14:18 - 11:25 (241+21:06)1) -
登陸者的IP or 內核版本
- 登錄ip
- 內核版本版本(猜測顯示這些記錄應該是屬於系統的操作,如開機,關機,重啟等操作)
- 如果你看見:0.0 或者 什么都沒有,這意味着用戶通過本地終端連接。
-
開始時間,其中的日期格式為date +"%a %b %d"
-
結束時間,或者 still login in(表示還未退出登陸)
-
登陸持續了多長時間,如果是 still logged in 就會省略持續時間
查前10行和后10行的技巧
這個方法也適合和其它命令配合使用
lastb | head -10
lastb | tail -n 10