|
如果要管理多用户系统,则通常需要知道谁,何时以及从何处登录到计算机。 last是一个命令行实用程序,用于显示有关系统用户的最后登录会话的信息。当你需要跟踪用户活动,或调查可能的安全漏洞时,此功能非常有用。 本文介绍了如何审核使用last命令登录系统的人员。  点击加载图片 如何使用last命令 last命令的语法如下: last [OPTIONS] [USER] [ 每次用户登录系统时,该会话的记录都会写入/var/log/wtmp文件中。last读取文件wtmp文件并打印有关用户登录和注销的信息。从最近的记录开始,记录按时间倒序打印。 在last没有任何选项或参数的情况下调用时,输出看起来像这样:  点击加载图片 输出的每一行从左到右包含以下几列: 用户名。系统重新引导或关闭时,last显示特殊用户reboot和shutdown。 会话所在的tty。:0通常表示用户正在登录桌面环境。 用户登录的IP地址或主机名。 会话的开始和结束时间。 会话持续时间。如果会话仍处于活动状态或用户未注销,last将显示有关该会话的信息,而不是持续时间。 要输出特定用户或tty,请将用户名或tty作为参数传递给last命令: last mark last pts/0 还可以指定多个用户名和ttys作为参数: last mark root pts/0 last命令选项 last接受几个选项,这些选项可以限制,格式化和过滤输出。在本节中,我们将介绍最常见的几个用法。 要指定打印的行数,请将数字前加单个连字符 - 传递给last。例如,要仅打印最后十个登录会话,输入: last -10 使用-p(--present)选项,可以确定谁在指定日期登录了系统。 last -p 2020-01-15 使用-s(--since)和-t(--until)选项,指示last显示自指定时间以来,或直到指定时间为止的行。 这两个选项通常一起使用,以定义要检索信息的时间段。例如,要显示2月13日至2月18日的登录记录,可以运行: last -s 2020-02-13 -u 2020-02-18 传递给-p,-s,-t选项的日期格式,可以是下面这些:  点击加载图片 默认情况下,last不显示秒和年。使用-F,--fulltimes选项查看完整的登录和注销时间和日期: last -F -i(--ip)选项强制last始终显示IP地址,以及使用-d(--dns)来显示主机名: last -i 写在最后 其实,last 只是把常用的文本处理筛选功能做成工具使用了。如果系统管理员想要自己手动实现审核,可以直接对相关日志文件操作,灵活且强大。 Happy coding :_) 我是@程序员小助手,持续分享编程知识,欢迎关注。 |
|
|
