来自WTMP的每条记录都显示在终端窗口中。
从左到右,每行包含:
登录者的用户名。 他们登录的终端。终端条目:0表示他们登录到Linux计算机本身。 他们登录的计算机的IP地址。 登录时间和日期戳。 会话的持续时间。
最后一行告诉我们日志中最早记录的会话的日期和时间。
每次启动计算机时,都会将虚拟用户“reboot”的登录条目输入到日志中。终端字段将替换为内核版本。这些条目的已登录会话的持续时间代表计算机的正常运行时间。
显示特定行数
单独使用最后一个命令会产生整个日志的转储,其中大部分会快速通过终端窗口。保持可见的部分是日志中最早的数据。这可能不是你想看到的。
您可以告诉LAST给出特定的输出行数。这可以通过在命令行上提供您想要的行数来实现。请注意连字符。要查看五行,您需要键入-5,而不是5:
last -5
这给出了日志的前五行,这是最新的数据。
显示远程用户的网络名称
-d选项(域名系统)告诉LAST尝试将远程用户的IP地址解析为计算机或网络名称。
last -d
LAST并不总是可以将IP地址转换为网络名称,但该命令会在可以的情况下这样做。
隐藏IP地址和网络名称
如果您对IP地址或网络名称不感兴趣,请使用-R(无主机名)选项取消显示此字段。
因为这样输出更整洁,没有难看的换行,所以在下面的所有示例中都使用了这个选项。如果您使用LAST来尝试识别异常或可疑活动,则不会取消显示此字段。
按日期选择记录
您可以使用-s(自)选项将输出限制为仅显示自特定日期以来发生的登录事件。
如果您只想查看2019年5月26日发生的登录事件,您可以使用以下命令:
last -R -s 2019-05-26
输出显示从指定日期的00:00到日志文件中的最新记录之间发生的登录事件的记录。
搜索到结束日期
您可以使用-t(直到)指定结束日期。这允许您选择发生在两个感兴趣的日期之间的一组登录记录。
此命令要求LAST检索并显示从26日00:00(黎明)到27日00:00(黎明)的登录记录。这将列表范围缩小到仅在26日发生的登录会话。
时间和日期格式
您可以将时间和日期与-s和-t选项一起使用。
可以与使用日期和时间的最后一个选项一起使用的不同时间格式有(据称):
YYYYMMDDhhmmss。 YYYY-MM-DD HH:MM:SS。 YYYY-MM-DD HH:MM-秒设置为00。 YYYY-MM-DD-TIME设置为00:00:00。 hh:mm:ss-日期设置为今天。 HH:MM-日期将设置为今天,秒设置为00。 现在。 昨天-时间设置为00:00:00。 今天-时间设置为00:00:00。 明天-时间定为00:00:00。 +5分钟。 -5天
为什么“据称”?
在本文的研究期间,列表中的第二种和第三种格式不起作用。这些命令在Ubuntu、Fedora和Manjaro发行版上进行了测试。它们分别是Debian、RedHat和Arch发行版的派生版本。这涵盖了Linux发行版的所有主要系列。
last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00
如您所见,该命令根本没有返回任何记录。
使用列表中的第一个日期和时间格式,并且日期和时间与上一个命令相同,则会返回记录:
last -R -s 20190526110000 -t 20190527130000
按相对单位搜索
您还可以指定相对于当前日期和时间以分钟或天为单位的时间段。我们在这里要两天前到一天前的记录。
last -R -s -2days -t -1days
昨天、今天和现在
你可以用昨天和明天作为昨天日期和今天日期的缩写。
last -R -s yesterday -t today
这并不是说这将不包括今天的任何记录。这是预期的行为。该命令要求提供从开始日期到结束日期的记录。它不包括结束日期内的记录。
NOW选项是“当前时间的今天”的缩写。要查看从00:00(黎明)到发出命令为止发生的登录事件,请使用以下命令:
last -R -s today -t now
这将直接显示当前时间的所有登录事件,包括仍在登录的事件。
目前的选择
p(当前)选项允许您找出在某个时间点登录的用户。
他们何时登录或注销并不重要,但如果他们是在您指定的时间登录到计算机的,则他们将包括在列表中。
如果您指定的时间没有日期,则假定您的意思是“今天”。
last -R -p 09:30
仍在登录的人(显然)没有注销时间;他们被描述为仍在登录。如果计算机在您指定的时间之后没有重新启动,它将被列为仍在运行。
如果将NOW速记与-p(当前)选项配合使用,则可以找出发出命令时登录的用户。
last -R -p now
这是一种有点冗长的方式来实现使用WHO命令可以完成的任务。
相关:如何在Linux中确定当前用户帐户
lastb命令
lastb命令值得一提的是。它从名为btmp的日志中读取数据。“b”代表“不好”,但“tmp”部分仍有争议。
lastb列出错误(失败)的登录尝试。它接受与上次相同的选项。因为它们都是失败的登录尝试,所以它们的条目都将具有00:00的持续时间。
您必须对lastb使用sudo。
sudo lastb -R
关于这件事的最后一句话
了解谁登录了您的Linux计算机,以及何时从何处登录,这是非常有用的信息。结合失败登录尝试的详细信息,您可以掌握调查可疑行为的第一步。