如何在Linux中查看用户登录历史 Linux last命令审计分析

last命令通过读取/var/log/wtmp文件查看用户登录历史，用于审计安全、排查异常，支持按用户、IP、时间等条件筛选，结合grep等命令可增强分析能力，是Linux系统安全运维的基础工具。

在Linux系统中，last命令是查看用户登录历史最常用且有效的方式。它能帮助系统管理员审计系统安全、排查异常登录行为，以及了解用户的登录活动情况。

last命令基本用法

last命令读取/var/log/wtmp文件，该文件记录了所有用户的登录、注销、系统重启和关机等事件。直接运行last即可显示完整的登录历史：

last

输出示例：

user1 pts/0 192.168.1.100 Mon Apr 5 10:23 - 10:45 (00:22)
reboot system boot 5.4.0-135-generic Mon Apr 5 10:20 still running
user2 tty1 Sun Apr 4 20:15 - down (02:10)

字段说明：

Remove.bg

AI在线抠图软件，图片去除背景

102

查看详情

• 用户名：登录的用户账户
• 终端：登录所用终端（如pts/0表示SSH，tty1表示本地控制台）
• 来源IP或主机名：远程登录的IP地址
• 登录时间：登录开始时间
• 登出时间：登出时间或持续状态（如still running）
• 持续时间：会话时长

常用选项提升审计效率

使用选项可以更灵活地分析登录记录：

• last -n 10：只显示最近10条记录
• last user1：查看特定用户（如user1）的登录历史
• last reboot：查看系统重启历史，有助于判断异常重启
• last -a：将IP地址显示在最后一列，便于日志对齐查看
• last -x：包含关机、运行级别变更等系统事件

结合其他命令进行安全分析

单独使用last可能不够全面，可以结合其他工具增强审计能力：

• last | grep "192.168.1.200"：查找来自特定IP的登录记录
• last | grep "still running"：检查当前仍在运行的会话
• last -F：显示完整时间戳（含年份），适合跨月日志分析
• 与lastlog命令对比：lastlog显示每个用户最后一次登录，而last显示所有历史记录

注意：/var/log/wtmp是二进制文件，不能用cat直接查看。若该文件被清空或删除，last将无输出。定期备份wtmp文件有助于长期审计。

常见安全排查场景

• 发现陌生用户名或IP地址登录，可能表示账户泄露
• 大量失败登录后出现成功登录，可能是暴力破解成功
• 非工作时间的登录行为需重点关注
• 多次快速登录登出，可能为脚本探测行为

基本上就这些。合理使用last命令，能快速掌握用户登录动态，是Linux系统安全审计的基础手段。结合日志轮转和集中日志管理，可进一步提升运维效率与安全性。

以上就是如何在Linux中查看用户登录历史 Linux last命令审计分析的详细内容，更多请关注php中文网其它相关文章！