在系统管理和安全审计中,了解谁在何时登录了你的服务器至关重要。对于使用 RockyLinux 的用户来说,last 命令是查看用户登录历史最常用、最便捷的工具之一。本文将从零开始,详细讲解如何使用 RockyLinux last命令 来查看用户登录记录,即使是 Linux 新手也能轻松上手。
什么是 last 命令?
last 命令用于显示系统中最近的用户登录、注销以及系统重启等信息。它读取的是 /var/log/wtmp
文件(该文件记录所有登录/登出事件),并以人类可读的方式输出。
基本用法:查看所有用户登录历史
在终端中直接输入以下命令:
$ last
执行后,你会看到类似如下的输出:
root pts/0 192.168.1.100 Wed Jun 5 10:23 still logged inalice pts/1 192.168.1.101 Wed Jun 5 09:15 - 11:30 (02:15)reboot system boot 5.14.0-284.el9.x Wed Jun 5 08:00 - 12:00 (04:00)bob tty1 Tue Jun 4 22:10 - down (05:50)
每一行包含以下关键信息:
用户名:如root、
alice。 终端类型:如
pts/0(远程SSH登录)、
tty1(本地控制台)。 IP地址或主机名:远程登录时显示来源IP。 登录时间:精确到分钟。 登出时间或状态:如
still logged in表示当前仍在线,
- 11:30表示已登出。
常用选项与技巧
1. 查看特定用户的登录记录
只需在
last后加上用户名:
$ last alice
2. 限制显示行数
使用
-n参数指定显示最近 N 条记录:
$ last -n 5
3. 查看系统重启记录
关注
reboot行即可,或使用:
$ last reboot
4. 查看关机记录
使用
shutdown关键字:
$ last shutdown
注意事项
/var/log/wtmp文件会定期被 logrotate 轮转,因此默认只能看到最近几周或几个月的记录。 如果系统被入侵,攻击者可能删除或篡改 wtmp 日志。建议配合
/var/log/secure(记录认证日志)进行交叉验证。 普通用户也可以运行
last,但出于安全考虑,某些系统可能限制其访问权限。
总结
通过本教程,你应该已经掌握了如何在 RockyLinux 中使用
last命令来查看用户登录历史。无论是排查异常登录、审计用户行为,还是了解系统运行状态,
last都是一个强大而实用的工具。记住这些关键词:RockyLinux last命令、查看用户登录历史、RockyLinux登录记录 和 last命令使用教程,它们将帮助你在后续学习和工作中快速定位相关知识。
现在就打开你的 RockyLinux 终端,试试
last命令吧!
