Linux -- last (转)

linux last 命令介绍

　　功能说明：列出目前与过去登入系统的用户相关信息。

　　语　　法：last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

　　补充说明：单独执行last指令，它会读取位于/var/log目录下，名称为wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来。

　　参　　数：

　　-a 　把从何处登入系统的主机名称或IP地址，显示在最后一行。

　　-d 　将IP地址转换成主机名称。

　　-f <记录文件> 　指定记录文件。

　　-n <显示列数>或-<显示列数> 　设置列出名单的显示列数。

　　-R 　不显示登入系统的主机名称或IP地址。

　　-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

last 命令：

功能说明：列出目前与过去登入系统的用户相关信息。

＝＝＝＝＝＝＝＝测试环境： Fedora Core 6.0；内核：2.6.18＝＝＝＝＝＝＝＝

#last用了显示用户登录情况。以下是直接显示固定行数的记录。kkk是新建的用户。

[[email protected] ~]$ last -6

kkk pts/2 :0.0 Thu Jul 26 20:48 still logged in

kkk pts/2 :0.0 Thu Jul 26 20:21 - 20:21 (00:00)

kkk :0 Thu Jul 26 20:21 still logged in

reboot system boot 2.6.18-1.2798.fc Thu Jul 26 20:20 (00:41)

kkk pts/2 :0.0 Thu Jul 26 11:16 - 11:46 (00:30)

kkk pts/2 :0.0 Thu Jul 26 10:18 - 10:18 (00:00)

wtmp begins Sun Jul 1 15:17:08 2007

#默认是显示wtmp的记录，btmp能显示的更详细，可以显示远程登录，例如ssh登录。

[[email protected] ~]# last -n 15 -f /var/log/btmp

kkk :0 Thu Jul 26 20:21 still logged in

klot tty1 Fri Jul 20 22:27 gone - no logout

np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

root :0 Fri Jul 20 22:22 - 20:21 (5+21:58)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

root tty1 Fri Jul 20 20:58 - 22:26 (01:28)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)

root tty1 Fri Jul 20 20:54 - 20:55 (00:00)

root tty1 Fri Jul 20 20:54 - 20:54 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示特定tty口的登录，1是tty1的登录情况，看的很清楚的。 np962e76 和 lkdjflkj 和klot其实都没有登

#录成功，我是把密码忘记了。前面两个用户，是根本不存在的，但是也有记录。

[[email protected] ~]# last -n 15 -f /var/log/btmp 1

klot tty1 Fri Jul 20 22:27 gone - no logout

np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

root tty1 Fri Jul 20 20:58 - 22:26 (01:28)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)

root tty1 Fri Jul 20 20:54 - 20:55 (00:00)

root tty1 Fri Jul 20 20:54 - 20:54 (00:00)

lkdjflkj tty1 Fri Jul 20 20:54 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示特定用户的登录情况。

[[email protected] ~]# last -n 15 -f /var/log/btmp klot

klot tty1 Fri Jul 20 22:27 gone - no logout

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示登录登出的记录，-x。

[[email protected] ~]# last -n 15 -f /var/log/btmp klot -x

klot tty1 Fri Jul 20 22:27 gone - no logout

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#-i显示特定ip登录的情况。跟踪用。

[[email protected] ~]# last -n 15 -i 127.0.0.1 -f /var/log/btmp klot

klot tty1 0.0.0.0 Fri Jul 20 22:27 gone - no logout

klot tty1 0.0.0.0 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 0.0.0.0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:52 (00:00)

1、清除登陆系统成功的记录，也就是last命令看到的记录

[[email protected] ~]echo > /var/log/wtmp 此文件默认打开时乱码的，里面可以看到ip等等信息

验证过程

[[email protected] ~]#last

root pts/0 10.5.10.51 Thu Sep 2 00:59 still logged in

root pts/2 10.5.10.60 Wed Sep 1 16:11 - 17:47 (01:35)

root pts/2 10.5.10.60 Wed Sep 1 16:08 - 16:10 (00:02)

root pts/0 10.5.10.61 Wed Sep 1 14:16 - 23:02 (08:46)

root pts/3 10.5.10.59 Wed Sep 1 11:28 - 19:38 (08:10)

root pts/2 10.5.10.60 Wed Sep 1 11:18 - 16:07 (04:49)

root pts/1 10.5.10.191 Wed Sep 1 11:17 - 19:12 (07:55)

。。。。。。。。。。。。。。。。。。。。。。。

[[email protected] ~]#echo >/var/log/wtmp

[[email protected] ~]#last

wtmp begins Thu Sep 2 01:04:34 2010

[[email protected] ~]#

此时即看不到用户登录信息

2、清除登陆系统失败的记录，也就是lastb命令看到的记录

[[email protected] ~]echo > /var/log/btmp 此文件默认打开时乱码的

验证方法

在执行命令前执行lastb如下

[[email protected] ~]#lastb

root ssh:notty 10.5.10.60 Wed Sep 1 16:11 - 16:11 (00:00)

tty6 Mon Aug 30 22:53 - 22:53 (00:00)

tty6 Mon Aug 30 18:52 - 18:52 (00:00)

++++++ tty6 Mon Aug 30 18:52 - 18:52 (00:00)

linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 11:21 - 11:21 (00:00)

linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 09:37 - 09:37 (00:00)

。。。。。。。。。

然后执行

[[email protected] ~]#echo > /var/log/btmp

[[email protected] ~]#lastb

btmp begins Thu Sep 2 01:01:06 2010

3、清除历史执行命令

[[email protected] ~]history -c

转自:

http://blog.csdn.net/a007zheng/article/details/6985521

时间： 2024-10-14 10:30:48

Linux -- last (转)的相关文章

排查Linux机器是否已经被入侵

随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [[email protected] ~]# ll -h /var/log/* -rw-------. 1 root root 2.6K Jul 7 18

linux下Nginx配置文件(nginx.conf)配置设置详解（windows用phpstudy集成）

linux备份nginx.conf文件举例: cp /usr/local/nginx/nginx.conf /usr/local/nginx/nginx.conf-20171111(日期) 在进程列表里面找master进程,它的编号就是主进程号. ps -ef | grep nginx 查看进程 cat /usr/local/nginx/nginx.pid 每次修改完nginx文件都要重新加载配置文件linux命令: /usr/local/nginx -t //验证配置文件是否合法若ngin

Linux下WebSphereV8.5.5.0 安装详细过程

Linux下WebSphereV8.5.5.0 安装详细过程自WAS8以后安装包不再区别OS,一份介质可以安装到多个平台.只针对Installation Manager 进行了操作系统的区分 ,Websphere产品介质必须通过专门的工具Install Managere安装.进入IBM的官网http://www.ibm.com/us/en/进行下载.在云盘http://yun.baidu.com/share/linkshareid=2515770728&uk=4252782771 中是Linu

Linux centos下让alias自定义永久生效（+常用的别名）

alias可以简化一些复杂的命令串,使一个单词或简化后的命令即可实现复杂(通常是带很多参数的长串)命令. 基本用法: alias 简化命令='实际的长串命令' //实际长串命令通常为'原命令 -/选项参数' eg. alias ll='ls -a' 获取别名: alias //即可查看当前设定的所有alias别名取消别名: unalias 简化命令 eg. unalias ll //取消ll的别名永久生效: 直接使用alias命令定义的别名,重启后就

Linux下修改环境变量PATH

1.什么是环境变量(PATH) 在Linux中,在执行命令时,系统会按照PATH的设置,去每个PATH定义的路径下搜索执行文件,先搜索到的文件先执行. 我们知道查阅文件属性的指令ls 完整文件名为:/bin/ls(这是绝对路径), 那你会不会觉得很奇怪:"为什么我可以在任何地方执行/bin/ls这个指令呢? " 为什么我在任何目录下输入 ls 就一定可以显示出一些讯息而不会说找不到该 /bin/ls 指令呢? 这是因为环境变量 PATH 的帮助所致呀! 当我们在执行一个指令癿时候,举例

老男孩Linux运维第41期20170917开班第四周学习重点课堂记录

第1章必知必会文件配置文件位置该文件作用 /etc/sysconfig/network-scripts/ifcfg-eth0 第一块网卡的配置文件同setup中的network /etc/resolv.conf 客户端DNS配置文件,优先级低于网卡配置文件 /etc/hosts 主要作用是定义IP地址和主机名的映射关系(域名解析),是一个映射IP地址和主机名的规定 /etc/sysconfig/network 用于配置hostname和networking /etc/fstab 开机自动

Linux基础命令小结

注意:Linux严格区分大小写老男孩方法论经验之谈: 有一种方法叫做没方法有两种方法,左右为难有三种方法才叫有方法停止一个命令:CTR + C 1.创建目录英文:make directorys 命令:mkdir 实例:三种方式 mkdir /data cd / mkdir data cd /;mkdir data mkdir x y z 表示同时创建多个目录 mkdir -p /data/x/y 表示同时创建多级目录(递归创建),切记不可用mkdir /data/x/y 2.

Linux red hat 安装ansible

今日对Linux 系统是Red Hat Enterprise Linux Server release 6.5 (Santiago)对ansible进行安装. 由于系统的源为yum源,所以使用yum install ansible 进行安装,但是报错.如图.(这个错误是yum源没有注册到red hat 系统). yum源不能安装,所以换了一个思路.使用pip安装.pip是依赖python安装的. 1.检查Python版本 Python -v 检查出来为Python 2.6.6 2.检查pip 版

初识运维3--在虚拟机中安装Linux发行版系统（CentOS）的方法

在讲Linux系统发行版本的安装过程之前,先大略说明一下虚拟化. 虚拟化:将底层硬件资源抽象为用户更容易读懂和使用的逻辑抽象层的技术. 最早由IBM提出,现使用率较高的虚拟化软件平台有三类:VMware workstation.VirtualBOX.HyperV.在这里使用VMware workstation作为例子讲解说明安装过程. 虚拟化网络: 桥接模式:让物理机和虚拟机利用物理网络接口完成通信.虚拟机可以访问互联网. 仅主机模式:让虚拟机和物理机利用被虚拟出来的VMnet1网络接口完成通信

查看Linux系统版本信息

一.查看Linux内核版本命令(两种方法): 1.cat /proc/version [[email protected]CentOS home]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013 2.uname -a [