last命令詳解

  

基礎命令學習目錄首頁

 

原文連接：https://blog.csdn.net/jerry_1126/article/details/54427119

[root@xiaoma /root] test!
#last
root     pts/0        27.186.178.170   Thu Feb  7 09:07   still logged in  
root     pts/0        27.186.178.170   Tue Feb  5 20:28 - 23:23  (02:55)   
root     pts/0        27.186.178.170   Tue Feb  5 20:27 - 20:28  (00:00)   
reboot   system boot  3.10.0-514.26.2. Wed Feb  6 04:17 - 11:27 (1+07:09)  
root     pts/2        27.186.178.170   Tue Feb  5 20:17 - down   (00:00)   
root     pts/1        27.186.178.170   Tue Feb  5 20:11 - down   (00:05)   

last命令-->列出截止目前登陸過系統的用戶信息;是Linux內置的審計跟蹤工具
last信息解讀
第一列: 用戶名
第二列: 終端位置>>>pts: 意味着從SSH或TELNET的遠程鏈接用戶>>>tty: 意味着直接鏈接到計算機或者本地鏈接用戶>>>     除了重啓，全部狀態會在啓動時顯示
第三列: 登陸IP或者內核>>>0.0或者什麼都沒有的話：意味着用戶經過本地終端鏈接>>>重啓活動，會顯示內核版本
第四列: 開始時間
第五列: 結束時間>>>still log in: 還在登陸>>>down:  直到正常關機>>>crash: 直到強制關機
第六列: 持續時間

 

【備註一】關於last命令的幾點說明:
1. wtmp,btmp,utmp均爲二進制文件，不能用cat查看，可用last打開
2. echo > /var/log/wtmp 可清空wtmp記錄

【備註二】Linux系統的三個主要日誌子系統:
1. 進程日誌(acct/pacct: 記錄用戶命令)
2. 錯誤日誌(/var/log/messages:系統級信息；access-log:記錄HTTP/WEB的信息)
3. 鏈接日誌(/var/log/wtmp,/var/log/btmp,/var/run/utmp)
>>>有關當前登陸用戶的信息記錄在文件utmp中;
>>>登陸進入和退出紀錄在文件wtmp中;
>>>最後一次登陸文件能夠用lastlog命令察看;
>>>數據交換、關機和重起也記錄在wtmp文件中;
---------------------
做者：傑瑞26
來源：CSDN
原文：https://blog.csdn.net/jerry_1126/article/details/54427119
版權聲明：本文爲博主原創文章，轉載請附上博文連接！

 

命令簡介：

 

    該命令用來列出目前與過去登陸系統的用戶相關信息。指令英文原義：show listing of last logged in users

    執行權限 ：有些須要特殊權限

    指令所在路徑：/usr/bin/last

    執行last指令時，它會讀取位於/var/log目錄下名稱爲wtmp的文件，並把該給文件的內容記錄的登陸系統的用戶名單所有顯示出來。默認是顯示wtmp的記錄，btmp能顯示的更詳細，能夠顯示遠程登陸，例如ssh登陸。

    utmp文件中保存的是當前正在本系統中的用戶的信息。

    wtmp文件中保存的是登陸過本系統的用戶的信息。

 

命令輸出字段介紹：

 

   第一列：用戶名

   第二列：終端位置。pts/0 (僞終端) 意味着從諸如SSH或telnet的遠程鏈接的用戶.tty (teletypewriter) 意味着直接鏈接到計算機或者本地鏈接的用戶

   第三列：登陸ip或者內核 。若是你看見:0.0 或者什麼都沒有，這意味着用戶經過本地終端鏈接。除了重啓活動，內核版本會顯示在狀態中。

   第四列：開始時間

   第五列：結束時間（still login in 還未退出 down 直到正常關機 crash 直到強制關機）

   第六列：持續時間

 

命令語法：

 

 

last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...]  [tty...]

 

命令參數：

參數	長參數	描敘
-a		將登陸系統的的主機名稱或IP地址，顯示在最後一行
-d		將IP地址轉換成主機名稱
-f		指定記錄文件，默認是顯示/var/log目錄下的wtmp文件的記錄，但/var/log目錄下得btmp能顯示的內容更豐富，能夠顯示遠程登陸，例如ssh登陸 ，包括失敗的登陸請求。
-i		-i顯示特定ip登陸的狀況。跟蹤用 -i顯示特定ip登陸的狀況。跟蹤用
-o		Read an old-type wtmp file (written by linux-libc5 applications).
-n		-n <顯示行數>或-<顯示行數> 　設置顯示多少行記錄
-w		Display full user and domain names in the output
-R		不顯示登入系統的主機名稱或IP（省略 hostname 的欄位）
-t		顯示YYYYMMDDHHMMSS以前的信息
-x		顯示系統關閉、用戶登陸和退出的歷史

 

使用示例：

 

 

1：查看last命令的幫助信息

last: invalid option -- h

2：顯示最後登陸系統的N條記錄

 

root     pts/1        :0.0             Wed Dec 18 09:54   still logged in   

root     pts/1        :0.0             Wed Dec 18 09:43 - 09:48  (00:05)    

root     pts/4        :0.0             Wed Dec 18 09:28 - 09:30  (00:01)    

root     pts/2        192.168.103.29   Wed Dec 18 09:27   still logged in   

root     pts/2        :0.0             Wed Dec 18 09:23 - 09:25  (00:01)    

root     pts/1        :0.0             Wed Dec 18 09:54   still logged in   

root     pts/1        :0.0             Wed Dec 18 09:43 - 09:48  (00:05)    

root     pts/4        :0.0             Wed Dec 18 09:28 - 09:30  (00:01)    

root     pts/2        192.168.103.29   Wed Dec 18 09:27   still logged in   

root     pts/2        :0.0             Wed Dec 18 09:23 - 09:25  (00:01)    

3：將登陸系統的主機名或IP地址顯示在最後一行

 

root     pts/1        Wed Dec 18 09:54   still logged in    :0.0

root     pts/1        Wed Dec 18 09:43 - 09:48  (00:05)     :0.0

root     pts/4        Wed Dec 18 09:28 - 09:30  (00:01)     :0.0

root     pts/2        Wed Dec 18 09:27   still logged in    192.168.103.29

root     pts/2        Wed Dec 18 09:23 - 09:25  (00:01)     :0.0

4：不顯示登入系統的主機名稱或IP地址

 

root     pts/1        Wed Dec 18 09:54   still logged in   

root     pts/1        Wed Dec 18 09:43 - 09:48  (00:05)    

root     pts/4        Wed Dec 18 09:28 - 09:30  (00:01)    

root     pts/2        Wed Dec 18 09:27   still logged in   

root     pts/2        Wed Dec 18 09:23 - 09:25  (00:01)    

5: 指定/var/log/btmp文件，查看登陸系統的用戶相關信息

 

root     ssh:notty    192.168.136.163  Fri Oct 17 18:16    gone - no logout 

root     ssh:notty    192.168.136.163  Fri Oct 17 09:50 - 09:50  (00:00)    

root     ssh:notty    192.168.236.149  Sun Apr 14 01:34 - 17:40 (100+16:05) 

tomcat   ssh:notty    get185806.gfg1.e Fri Oct 26 16:48 - 17:25 (133+00:37) 

root     ssh:notty    192.168.193.3    Mon Oct 22 18:13 - 18:13  (00:00)    

6: 將IP地址轉換成主機名稱

 

last -10 -d

 

7: 顯示YYYYMMDDHHMMSS（20150110093000）以前的信息

root     pts/2        192.168.102.186  Fri Jan  9 15:35 - 17:27  (01:52)    

root     pts/3        192.168.125.53   Tue Jan  6 23:59 - 00:09  (00:09)    

root     pts/3        192.168.102.88   Tue Jan  6 15:23 - 16:20  (00:57)    

oracle   pts/1        :2.0             Tue Jan  6 15:07   still logged in   

root     pts/2        192.168.102.88   Tue Jan  6 14:47 - down   (00:17)    

做者： 瀟湘隱者

出處： http://www.cnblogs.com/kerrycode/

若是你真心以爲文章寫得不錯，並且對你有所幫助，那就不妨小小打賞一下吧，若是囊中羞澀，不妨幫忙「推薦"一下，您的「推薦」和」打賞「將是我最大的寫做動力！

本文版權歸做者全部，歡迎轉載，但未經做者贊成必須保留此段聲明，且在文章頁面明顯位置給出原文鏈接.