Linux 系統管理 : last 命令詳解

原文

last命令用於顯示用戶最近登陸信息。單獨執行last命令，它會讀取/var/log/wtmp的文件，並把該給文件的內容記錄的登入系統的用戶名單所有顯示出來

語法

last(選項)(參數)

選項

-a：把從何處登入系統的主機名稱或ip地址，顯示在最後一行；
-d：將IP地址轉換成主機名稱；
-f <記錄文件>：指定記錄文件。
-n <顯示列數>或-<顯示列數>：設置列出名單的顯示列數；
-R：不顯示登入系統的主機名稱或IP地址；
-x：顯示系統關機，從新開機，以及執行等級的改變等信息。

參數

• 用戶名：顯示用戶登陸列表；
• 終端：顯示從指定終端的登陸列表。

實例

last命令用了顯示用戶登陸狀況，如下是直接顯示固定行數的記錄：

last -10
root     pts/0        221.6.45.34      Tue Dec 17 09:40   still logged in
root     pts/0        221.6.45.34      Mon Dec 16 09:00 - 11:57  (02:56)
root     pts/0        222.94.97.122    Sun Dec 15 20:39 - 23:28  (02:48)
root     pts/0        222.95.209.80    Sat Dec 14 14:39 - 14:58  (00:18)
root     pts/0        221.6.45.34      Thu Dec 12 16:55 - 17:37  (00:41)
root     pts/0        49.65.139.195    Wed Dec 11 20:40 - 21:16  (00:35)
root     pts/0        49.65.139.195    Wed Dec 11 19:46 - 20:03  (00:17)
root     pts/0        221.6.45.34      Tue Dec 10 14:41 - 15:52  (01:10)
root     pts/0        221.6.45.34      Mon Dec  9 17:24 - 17:30  (00:06)
root     pts/0        221.6.45.34      Mon Dec  9 09:38 - 11:41  (02:02)

詳解：

last命令-->列出截止目前登陸過系統的用戶信息;是Linux內置的審計跟蹤工具

last指令時，它會讀取位於/var/log/wtmp的文件，並把該給文件的內容記錄的登陸系統的用戶名單所有顯示出來

last信息解讀

第一列信息：用戶名，或者顯示reboot（啓動或者重啓操做在這裏會記錄成reboot）

第二列信息：終端位置，pts/0 (僞終端或虛擬終端) 意味着從諸如SSH或telnet的遠程鏈接的用戶。

                 tty (teletypewriter) 意味着直接鏈接到計算機或者本地鏈接的用戶,若是是啓動或者重啓操做，這裏會顯示成system boot

第三列信息：登陸ip或者內核，若是你看見:0.0 或者什麼都沒有，這意味着用戶經過本地終端鏈接。

                  也有在狀態中顯示內核版本的信息，筆者猜想這些記錄應該是屬於系統的操做，如開機，關機，重啓等操做

第四列信息：開始時間,其中的日期格式爲date +"%a %b %d"

第五列信息：結束時間（still login in 還未退出 down 直到正常關機 crash 直到強制關機）

第六列信息：持續時間

【備註一】關於last命令的幾點說明:
1. wtmp,btmp,utmp均爲二進制文件，不能用cat查看，可用last打開
2. echo > /var/log/wtmp 可清空wtmp記錄

 

【備註二】Linux系統的三個主要日誌子系統: 1. 進程日誌(acct/pacct: 記錄用戶命令)2. 錯誤日誌(/var/log/messages:系統級信息；access-log:記錄HTTP/WEB的信息)3. 鏈接日誌(/var/log/wtmp,/var/log/btmp,/var/run/utmp)>>>有關當前登陸用戶的信息記錄在文件utmp中;>>>登陸進入和退出紀錄在文件wtmp中;>>>最後一次登陸文件能夠用lastlog命令察看;>>>數據交換、關機和重起也記錄在wtmp文件中;