Linux如何查看用户的登录历史

使用last、who、w命令及系统日志可查看Linux用户登录情况：last显示历史登录记录，who和w显示当前在线用户及活动，结合/var/log/auth.log或journalctl可深入分析登录详情与安全事件。

在Linux系统里，想知道谁在什么时候登录过，或者现在谁在线，其实有几种非常直接且常用的方法。简单来说，我们主要会用到

、 和 这些命令，以及系统日志文件，比如 或 。它们能帮你快速了解用户的活动轨迹，无论是出于安全审计，还是单纯的好奇心，这些工具都能提供你所需要的信息。

要查看用户的登录历史，最常用的莫过于

命令了。它会从 文件中读取信息，告诉你系统重启以来所有用户的登录和登出记录。

这个命令会列出用户名、登录终端、登录IP或主机名、登录时间、登出时间以及会话持续时间。有时候，你会看到

，这表示用户还在会话中。如果看到 ，那通常是系统关机或重启。

而如果你想看当前谁在线，

和 命令就派上用场了。 命令会显示当前登录系统的所有用户，包括他们的用户名、终端、登录时间和来源。

命令则更进一步，它不仅显示当前在线用户，还会告诉你他们正在做什么（执行的命令），这在排查问题时非常有用。

至于更详细的，甚至包括失败的登录尝试，那就要深入到系统日志文件里了。在大多数基于Debian的系统上，是

；而在基于Red Hat的系统上，通常是 。你可以用 命令来过滤这些日志。

这些日志文件记录了系统认证相关的各种事件，包括成功的登录、失败的尝试、SSH连接等等。

为什么追踪用户登录历史至关重要？

在我看来，追踪用户登录历史，绝不仅仅是满足好奇心那么简单。它在系统安全和运维管理中扮演着核心角色。想想看，如果你的系统出现了一些异常行为，比如CPU占用率突然飙升，或者某些文件被修改了，你第一反应可能就是去查查最近谁登录过，是不是有未授权的访问。这就像是家里的门禁记录，谁进谁出，一目了然。

从安全角度讲，登录历史是发现潜在入侵行为的黄金线索。一个陌生的IP地址在半夜登录了你的服务器？或者一个不常用的账户突然活跃起来？这些都可能是安全警报。审计时，它也是合规性要求的重要组成部分，很多法规都要求企业保留一定时间的系统访问日志。此外，在日常排障中，如果某个服务出问题了，看看最近有没有哪个用户登录并执行了某些操作，也能帮助我们快速定位问题。我个人就遇到过好几次，通过查看登录历史，发现是某个同事不小心执行了错误命令导致的服务中断。所以，这不是一个可有可无的功能，而是系统健康和安全的关键一环。

last

登录后复制

命令的深度剖析与高级用法

命令，前面提到了，它是查看历史登录记录的利器。但它远不止 这么简单。它其实有很多实用的参数，能让你更精准地定位信息。

比如，如果你只想看某个特定用户的登录历史，可以直接在

后面加上用户名：

这会过滤出该用户的所有登录记录。如果想看某个终端（比如

）的登录情况，也可以：

有时候，我们可能只关心最近的几次登录，而不是所有历史记录。

这个参数就派上用场了：

更有趣的是，

命令默认读取的是 文件。但你知道吗，还有一个 命令，它读取的是 文件，专门记录失败的登录尝试！这对于安全审计来说简直是宝藏。

通过

，你可以清晰地看到哪些IP地址、哪些用户尝试登录失败了多少次。这对于发现暴力破解攻击非常有用。我经常用它来快速扫描一下系统有没有被恶意尝试登录。记住， 记录成功， 记录失败，两者结合起来看，才能对系统的登录情况有一个全面的了解。

如何从系统日志中挖掘更详细的登录信息？

当我们谈到登录历史，尤其是更深层次的细节，系统日志文件无疑是信息最丰富的地方。前面简单提到了

或 ，但实际上，这里面蕴含的信息远不止成功或失败的提示。

这些日志文件详细记录了认证过程中的每一个步骤，比如SSH密钥认证、sudo操作、用户会话的开启和关闭等等。你可以用

、 或 来查看这些文件，然后结合 进行过滤。

例如，要查看所有SSH相关的登录尝试，无论是成功还是失败：

这会显示所有与

服务相关的日志条目。你会看到很多信息，比如哪个用户从哪个IP尝试登录，是密码认证还是密钥认证，以及登录成功或失败的结果。

对于使用

的现代Linux系统， 是一个更强大的工具，它可以查询系统日志，包括认证相关的日志。它的优势在于可以按时间、按服务、按用户等多种方式进行过滤，而且日志是结构化的，查询起来更方便。

使用

配合 ，你可以挖出非常具体的登录细节，比如某个用户在某个时间点是通过哪个认证方式登录的，或者哪些IP地址在尝试暴力破解。这些日志是系统安全事件分析的核心数据源，理解如何有效利用它们，对于任何系统管理员来说都至关重要。我个人觉得，熟练掌握 和 的组合拳，能让你在日志排查上事半功倍。

区分当前在线用户与历史登录记录

这是一个经常让人混淆的点，但理解它们之间的区别非常重要。简单来说，

和 命令关注的是“当下”——即现在有谁正在使用系统，他们在做什么。而 命令则着眼于“过去”——系统启动以来，谁曾经登录过。

想象一下，你走进一个办公室。

和 就像是你在办公室里环顾一圈，看看现在有哪些人在工位上工作。你能立刻知道小张、小李、小王现在都在。 甚至还能告诉你小张在写代码，小李在开会。

而

命令，则更像你查看了办公室的门禁刷卡记录。它会告诉你，今天早上小张几点来的，小李几点走的，昨天小王也来过。即使现在办公室里没人，门禁记录依然在那里，记录着历史。

所以，如果你想快速了解当前系统负载和用户活动，

是首选，它提供了实时快照。如果你需要进行安全审计，或者追溯某个时间段的登录情况， 和系统日志（如 ）才是你的主要工具。它们各自服务于不同的目的，但都是系统管理中不可或缺的一部分。有时候，我甚至会先用 看看有没有可疑用户在线，然后再用 追溯他的历史行为，这是一种很自然的排查流程。

以上就是Linux如何查看用户的登录历史的详细内容，更多请关注php中文网其它相关文章！