Linux中last命令怎么用?最近登录记录查询

Linux中的last命令主要用于查看用户最近登录系统的记录,它通过读取/var/log/wtmp文件来提供关于谁、何时、从何处登录过服务器的详细审计信息,是系统安全监控和故障排查的核心工具。

在Linux系统管理的日常工作中,我们常常需要回答这样一个问题:到底是谁在什么时间登录了我的服务器?或者更具体地说,最近有没有异常IP尝试访问?这时候,last命令就是最直接的“守门员”,它不仅仅是一个简单的日志查看器,更是系统管理员手中的放大镜,能够清晰地还原每一次登录行为的来龙去脉。

每天一个Linux命令-find
加载中
每天一个Linux命令-find

last命令的基本原理与数据源

要理解last命令的强大之处,首先得知道它背后的数据支撑,业内专家指出,last命令本身并不直接读取日志文件,而是读取二进制格式的/var/log/wtmp文件,这个文件记录了所有曾经登录过系统的用户信息,包括登录时间、持续时间、终端设备以及来源IP地址。

为什么选择wtmp文件?

/var/log/secure/var/log/auth.log不同,wtmp文件专门用于存储登录会话的历史记录,这意味着即使会话已经结束,记录依然保留,这种设计使得last命令能够提供一个长期的、历史性的视角,而不仅仅是当前的活跃会话。

数据读取的限制

需要注意的是,last命令读取的是二进制数据,因此它只能显示成功登录的记录,如果用户尝试登录但密码错误,这些失败尝试通常不会出现在wtmp文件中,而是记录在认证日志中,这一点对于区分正常登录和安全攻击至关重要。

last命令的常用参数与实战场景

掌握last命令的用法,关键在于灵活运用各种参数,下面我们将通过具体的场景,拆解几个最高频的使用技巧。

查看最近登录记录

默认情况下,直接运行

Linux中last命令怎么用?最近登录记录查询

last命令会显示最近的登录记录,但在生产环境中,我们通常关注的是特定的用户或特定的时间段。

  • 查看指定用户的登录历史:使用`last username`,`last admin`可以只显示admin用户的登录记录,这在排查特定账号的安全问题时非常有用。
  • 限制显示行数:使用`-n`参数,`last -n 10`只显示最近的10条记录,当日志量巨大时,这能极大提高阅读效率。
  • 显示完整的IP地址:使用`-i`参数,默认情况下,`last`可能会将IP地址解析为主机名,或者显示为`pts/0`,使用`-i`可以强制显示IP地址,便于识别来源。

分析登录持续时间

在排查资源占用或异常会话时,了解用户登录了多久至关重要。last命令输出的最后一列通常显示会话的持续时间。

  • 识别长时间未退出的会话:如果看到某个会话持续时间长达数天甚至数月,这通常意味着用户忘记注销,或者存在僵尸进程,管理员应及时介入,强制断开这些会话。
  • 识别异常短时会话:如果看到大量持续时间极短(如几秒)的登录记录,这可能意味着有人在尝试暴力破解密码,或者存在自动化的扫描脚本。

结合grep进行高级筛选

last命令的输出过于庞大时,结合grep命令进行过滤是标准操作。

  • 查找特定IP的登录记录:`last | grep 192.168.1.100`,这可以快速定位来自特定IP的所有登录尝试。
  • 查找特定终端的登录记录:`last | grep pts/1`,这有助于分析特定SSH会话的历史。
  • 查找失败后的成功登录:虽然`last`不显示失败记录,但可以通过对比`lastb`(读取`/var/log/btmp`)和`last`来推断攻击路径。

last与lastb的区别与应用对比

在Linux安全审计中,lastlastb经常成对出现,理解它们的区别,是构建完整安全视图的关键。

Linux中last命令怎么用?最近登录记录查询

数据来源的不同

  • last:读取`/var/log/wtmp`,记录成功登录的会话。
  • lastb:读取`/var/log/btmp`,记录失败的登录尝试。

权限要求

由于btmp文件包含敏感的安全信息,普通用户通常没有权限读取,运行lastb命令通常需要root权限,相比之下,last命令对普通用户是开放的,允许他们查看自己的登录历史。

实战对比表

特性 last lastb
数据源 /var/log/wtmp /var/log/btmp
记录类型 成功登录 失败登录
权限要求 普通用户即可 通常需要root权限
主要用途 审计正常会话 检测暴力破解或扫描
用户、终端、IP、时间、持续时间 用户、终端、IP、时间、失败原因

据工信部相关安全指南建议,定期审查lastb输出是发现潜在攻击的重要手段,如果lastb中出现大量来自同一IP的失败记录,而last中几乎没有对应成功记录,这通常是一个强烈的入侵信号。

last命令的高级技巧与注意事项

除了基本用法,还有一些高级技巧可以帮助管理员更高效地使用last命令。

Linux中last命令怎么用?最近登录记录查询

处理日志轮转

wtmpbtmp文件的大小是有限的,当文件达到一定大小时,系统会自动进行日志轮转,生成wtmp.1wtmp.2等备份文件。last命令默认只读取当前的wtmp文件,如果需要查看历史归档数据,需要手动指定文件路径,例如last -f /var/log/wtmp.1

解析主机名与IP

在某些网络配置下,last命令可能会花费大量时间解析IP地址为主机名,导致输出缓慢,使用-a参数可以禁用反向DNS查找,直接显示IP地址,从而显著提高命令执行速度,这在处理大规模日志时尤为实用。

统计登录次数

结合wc -l命令,可以快速统计特定用户的登录次数。last admin | wc -l可以显示admin用户的总登录次数,虽然这不是last的直接功能,但却是系统管理员常用的组合技。

Q&A:关于last命令的常见疑问

last命令能显示SSH密钥登录的记录吗?

能。last命令记录的是会话的建立,无论认证方式是密码还是SSH密钥,只要登录成功,就会在wtmp文件中生成一条记录,密钥登录也会在last输出中体现,显示为正常的登录会话。

如何清除last命令的历史记录?

可以通过清空/var/log/wtmp文件来清除记录,命令为sudo truncate -s 0 /var/log/wtmp,但请注意,这会永久删除所有登录历史,且无法恢复,在执行此操作前,务必确认是否真的需要删除,并考虑是否已备份重要审计数据。

last命令显示的时间是服务器时间还是用户本地时间?

last命令显示的时间是服务器的系统时间,如果服务器配置了时区,所有记录都基于该时区,在跨国团队协作中,确保服务器时区设置正确至关重要,否则可能导致时间记录混乱,增加审计难度。

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/411414.html

(0)
DediPath网络星期一VPS低至14美元/年值得买吗?美国不限流量VPS推荐
上一篇 2026年6月22日 14:55
PuTTY中文乱码怎么解决?远程连接出现乱码怎么办
下一篇 2026年6月22日 14:59

相关推荐

  • access数据库怎么改密码?access数据库忘记密码怎么办

    Access数据库修改密码的核心在于通过“独占”模式打开数据库文件,进入“数据库工具”选项卡后选择“加密或解密数据库”,输入新密码并确认保存即可生效,此操作不可逆且需确保文件未处于共享打开状态,Access数据库因其轻量级和与Office生态的无缝集成,在中小企业内部管理系统中占据重要地位,随着数据敏感度的提升……

    2026年7月3日
    300
  • HTML图片模糊怎么变清晰?html图片模糊清楚解决方法

    分辨率与显示尺寸不匹配这是最直观的原因,如果一张宽度仅为500像素的图片,被CSS强制设置为1000像素宽,浏览器必须通过插值算法来填补空缺的像素,结果必然是模糊和锯齿,这种情况在响应式设计中尤为常见,开发者为了省事,直接给图片设置了固定的宽高,而忽略了源文件的实际尺寸,未适配高DPI屏幕(Retina屏)如今……

    2026年6月7日
    3000
  • HTML闪烁文字代码怎么弄?html文字闪烁特效代码

    “`参数详解在上述代码中,animation属性的值由多个子属性组成,理解这些参数对于定制动画至关重要,animation-name:指定@keyframes的名称,此处为blink-effect,animation-duration:定义一个动画周期的时长,1s表示每秒闪烁一次,animation-iter……

    2026年6月5日
    3000
  • 广州FPGA服务器如何添加安全组?安全组配置步骤详解

    在广州地区部署高性能计算业务,广州FPGA服务器添加安全组是保障数据资产安全、维持业务高可用性的首要防线,其核心价值在于通过精细化流量清洗与访问控制,将硬件加速优势与网络安全策略深度融合,构建起“进可攻、退可守”的立体防御体系,核心结论:安全组不仅是简单的防火墙,更是FPGA服务器稳定运行的“神经系统”,相较于……

    2026年3月30日
    9800
  • 上行带宽和下行带宽区别?上行带宽和下行带宽哪个重要?

    上行带宽和下行带宽区别? 最核心的结论在于数据传输的方向不同:下行带宽决定了你从互联网获取信息的速度,直接影响观影和浏览体验;上行带宽决定了你向互联网发送信息的速度,决定了直播、视频会议和云存储的效率,对于企业而言,下行带宽不足会导致业务卡顿,而上行带宽不足则会导致核心业务中断,两者缺一不可, 概念解析:什么是……

    2026年3月4日
    13200
  • Magento如何绑定域名?Magento绑定域名详细教程

    Magento绑定域名的核心逻辑是将DNS解析指向服务器IP,并在Magento后台配置Base URL,同时务必开启HTTPS以确保安全,很多刚接触Magento的站长在搭建好环境后,面对空白的域名绑定界面往往感到无从下手,这不仅仅是输入一个网址那么简单,它涉及到底层服务器配置、数据库更新以及SSL证书的安装……

    2026年6月20日
    2500
  • HTML5本地存储怎么做的?localStorage和sessionStorage区别

    HTML5本地存储主要通过localStorage和sessionStorage对象实现,前者数据永久保存,后者随会话结束自动清除,两者均基于键值对结构,无需服务器交互即可在浏览器端高效读写数据,在Web开发领域,数据持久化是构建现代单页应用(SPA)的基石,过去我们依赖Cookie,但受限于4KB大小和每次请……

    2026年6月10日
    3500
  • ThemeForest便宜WooCommerce电商主题怎么选?2026年最新推荐

    在2026年,选择ThemeForest上高性价比的WooCommerce主题,核心在于平衡性能、SEO友好度与后期维护成本,推荐重点关注Flatsome、Astra或WoodMart等经过市场长期验证的模板,它们能以较低的一次性投入提供接近高端定制的开发基础,搭建独立站时,预算控制往往是新手卖家面临的第一道门……

    2026年6月24日
    1600
  • 广安智能生活网关文档介绍内容是什么?广安智能生活网关使用说明书下载

    广安智能生活网关作为现代智能家居系统的核心枢纽,其核心价值在于实现了多品牌、多协议设备的互联互通与统一管理,彻底解决了传统智能家居“各自为政”的痛点,该设备不仅是数据传输的中转站,更是家庭智能化的“大脑”,通过本地化运算与云端服务的结合,确保了家庭网络的高效、稳定与安全,对于追求高品质智能生活的用户而言,深入理……

    2026年4月2日
    9400
  • HTTPS证书哪家好?2026年最新SSL证书选购指南

    HTTPS证书确实比较好,它不仅是网站安全的“防盗门”,更是百度等搜索引擎提升排名权重的关键因素,能显著增强用户信任并防止数据被窃取,在2026年的互联网环境中,网站安全已经不再是“可选项”,而是“必选项”,很多站长还在纠结要不要花钱买证书,或者担心配置过程太复杂,核心逻辑很简单:没有HTTPS的网站,就像是在……

    2026年6月1日
    3700

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注