如何在Linux中查看登录历史 Linux last命令审计分析

last命令用于查看Linux用户登录历史，读取/var/log/wtmp文件，显示登录、注销及系统重启记录；通过last -n、-f、-x等选项可提升审计效率，结合lastb、lastlog、journalctl等命令增强安全分析；需注意日志轮转与远程日志存储，定期检查root登录与异常行为，有效提升系统安全性。

在Linux系统中，了解用户登录历史是系统管理和安全审计的重要环节。通过查看登录记录，管理员可以追踪用户行为、排查异常登录、识别潜在的安全威胁。其中，last 命令是最常用且功能强大的工具之一。

last 命令基本用法

last 命令读取系统日志文件（通常是 /var/log/wtmp），显示自系统安装或日志轮转以来所有用户的登录和注销记录。

直接运行以下命令即可查看登录历史：

last

输出示例：

user1 pts/0 192.168.1.100 Mon Apr 5 10:30 - 11:15 (00:45)
reboot system boot 5.4.0-135-generic Mon Apr 5 08:20 - 12:00 (3+03:40)
user2 :0 :0 Sun Apr 4 18:00 - down (02:10)

各列含义如下：

• 用户名：登录的用户名称，reboot 表示系统重启记录
• 终端：登录所使用的终端，如 pts/0（伪终端）、:0（图形界面）
• 来源IP或主机名：远程登录的IP地址，本地登录显示 :0
• 登录时间：会话开始时间
• 登出时间：会话结束时间，crash 表示非正常退出，still logged in 表示仍在登录中
• 持续时间：会话时长

常用选项提升审计效率

last 支持多种参数，帮助快速定位关键信息。

AssemblyAI

转录和理解语音的AI模型

65

查看详情

• last -n 10：只显示最近10条记录
• last user1：查看指定用户的登录历史
• last -f /var/log/wtmp.1：查看旧的 wtmp 文件（归档日志）
• last -x：显示关机、重启和运行级别变更记录
• last -a：将IP地址显示在最后一列，便于查看远程来源

结合其他命令进行安全分析

单独使用 last 可能不够全面，结合其他命令可增强审计能力。

• lastb：查看失败的登录尝试（读取 /var/log/btmp），需谨慎使用，避免日志过大
• lastlog：显示每个用户最后一次登录时间，使用 /var/log/lastlog
• journalctl：对于使用 systemd 的系统，可通过 journalctl _COMM=sshd 查看SSH登录详情

例如，查找所有失败的SSH登录：

lastb | grep ssh

注意事项与日志管理

使用 last 时需注意以下几点：

• wtmp 文件会持续增长，建议启用 logrotate 定期归档
• 日志文件可能被恶意用户清除，建议配置远程日志服务器（如 rsyslog）
• root 用户的登录记录尤其重要，应定期检查是否出现异常登录
• 若系统长时间运行，可结合 last | grep "reboot" 分析重启周期

基本上就这些。掌握 last 命令的使用，配合系统日志分析，能有效提升Linux系统的可审计性和安全性。不复杂但容易忽略。

以上就是如何在Linux中查看登录历史 Linux last命令审计分析的详细内容，更多请关注php中文网其它相关文章！