如何查看用户登录 last命令审计分析-linux运维-PHP中文网

如何查看用户登录 last命令审计分析

P粉602998670

发布： 2025-08-18 10:46:01

原创

306人浏览过

last命令是查看linux用户登录登出记录的直接工具，它读取/var/log/wtmp文件展示登录历史；1. 执行last可查看用户名、终端、ip、登录登出时间及在线时长；2. 使用last -n 10可限制输出最近10条记录；3. 分析时关注不熟悉用户名、异常ip来源、非工作时间登录和高频登录行为；4. 结合/var/log/auth.log检查失败登录尝试，排查暴力破解；5. 可用last | grep 用户名筛选特定用户的登录记录；6. 对高安全需求，启用auditd获取更细粒度审计信息；通过last命令与日志交叉验证，能有效识别异常登录行为并提升系统安全可见性。

如何查看用户登录 last命令审计分析

想查Linux系统里用户的登录登出记录，

last

登录后复制

命令是最直接的工具。它能帮你快速看到谁在什么时候从哪里登录过，是日常运维和安全检查的常用手段。

用last命令查看登录历史

last

登录后复制

命令读取的是系统文件

/var/log/wtmp

登录后复制

，这个文件记录了所有用户的登录、注销以及系统重启、关机等事件。直接在终端输入

last

登录后复制

，就能列出最近的登录记录：

last

登录后复制

输出结果通常包括用户名、终端类型（tty或pts）、IP地址（远程登录时）、登录时间、登出时间以及在线时长。比如看到某用户从陌生IP频繁登录，就值得进一步排查。

如果只想看最近几条记录，可以用

-n

登录后复制

参数指定数量：

last -n 10

登录后复制

这能快速查看最近10次的登录情况，避免输出太多信息干扰判断。

分析关键字段识别异常行为

看

last

登录后复制

的输出不能只看热闹，关键是要会识别异常：

Devv

Devv是一个专为程序员打造的新一代AI搜索引擎

140

查看详情

用户名：注意
```
reboot
```
登录后复制
和
```
shutdown
```
登录后复制
这类系统事件，正常情况会周期性出现。如果看到不熟悉的用户名，尤其是系统账户被使用，要警惕。
来源IP：远程登录（pts/）通常会显示IP。如果发现来自国外或非办公区域的IP频繁连接，可能是暴力破解或未授权访问。
登录时间：非工作时间大量登录，特别是深夜或凌晨，可能意味着自动化脚本或异常行为。
登录频率：短时间内同一IP大量登录尝试（即使
```
last
```
登录后复制
主要记录成功登录，结合
```
/var/log/auth.log
```
登录后复制
更好），可能是在撞库。

比如，你发现用户

admin

登录后复制

在凌晨3点从IP

192.168.100.50

登录后复制

192.168.1.0/24

登录后复制

，这就明显不对劲。

结合其他日志进行交叉验证

last

登录后复制

虽然方便，但它主要展示成功登录。要全面审计，还得结合其他日志：

失败登录尝试：查看
```
/var/log/auth.log
```
登录后复制
或
```
/var/log/secure
```
登录后复制
（取决于发行版），搜索
```
Failed password
```
登录后复制
关键词，能发现暴力破解痕迹。
更详细的审计信息：对于更高要求的审计，可以启用
```
auditd
```
登录后复制
服务，它能记录更细粒度的操作，比如具体执行了哪些命令。