概述
last 命令读取系统的 `wtmp` 日志文件,并按时间倒序输出用户登录/注销、系统重启、运行级别更改等事件。这是系统安全审计和使用历史分析的必备工具。
跟踪的主要事件
- 用户登录/注销记录
- 系统重启 (reboot) 记录
- 系统关机 (shutdown) 记录
- 运行级别更改记录
主要选项
last 命令的主要选项用于控制输出信息的数量和格式,帮助您高效地查看所需数据。
显示和过滤
生成的命令:
请尝试组合命令。
描述:
`last` 执行命令。
通过组合这些选项,您可以与 AI 一起虚拟地执行命令。
使用示例
通过 last 命令的各种使用示例,学习如何有效地查询系统日志。
查看所有登录和重启记录
last以时间倒序输出系统的所有登录和重启记录。
仅查看最近 10 条记录
last -n 10仅输出最近发生的 10 个事件。
仅查看系统重启记录
last reboot仅过滤并输出系统重启的时间点记录。
查看特定用户的登录记录
last root仅输出指定用户(例如:root)的登录和注销记录。
以完整时间格式查看记录
last -F以包含年、月、日、时、分、秒的完整格式输出登录和注销时间。
提示与注意事项
last 命令分析系统的重要日志文件,因此熟悉其用法和注意事项非常重要。
- 日志文件位置: last 命令分析 `/var/log/wtmp` 文件。此文件为二进制格式,不应直接编辑。
- 相关命令: `lastb` 命令从 `/var/log/btmp` 文件读取并显示失败的登录尝试记录。在安全审计时可以一起使用。
- 权限: 普通用户也可以执行 `last` 命令,但需要对 `wtmp` 文件具有读取权限。
- 时区: 记录的时间遵循系统的本地时区。与其他时区的系统进行比较时需要注意。