last
last命令的作用是顯示近期用戶或終端的登錄情況,它的使用權限是所有用戶。通過last命令查看該程序的log,管理員可以獲知誰曾經或企圖連接系統。
2.格式
last [-R] [-n][-f file][-t tty] [-h 節點][-I -IP][-1][-y][ID]
3.主要參數
-R: 省略 hostname 的欄位
-n:指定輸出記錄的條數。例如-3 -5
-f file:指定用文件file作爲查詢用的log文件。
-t tty:只顯示指定的虛擬控制檯上登錄情況。
-h 節點:只顯示指定的節點上的登錄情況。
-i IP:只顯示指定的IP上登錄的情況。
-1:用IP來顯示遠端地址。
-y:顯示記錄的年、月、日。
-ID:知道查詢的用戶名。
-x:顯示系統關閉、用戶登錄和退出的歷史。
範例:
#last -R -2
user3 pts/1 Mon Aug 14 20:42 still logged in
user3 pts/0 Mon Aug 14 19:59 still logged in
wtmp begins Tue Aug 1 19:01:10 2007 ### /var/log/wtmp
#last -2 user1
user1 pts/0 140.119.217.115 Mon Aug 14 18:37 - 18:40 (00:03)
user1 pts/0 140.119.217.115 Mon Aug 14 17:22 - 17:24 (00:02)
wtmp begins Tue Aug 1 19:01:10 2007
4.注意:
/var/log/wtmp
wtmpp文件是二進制文件,該日誌文件永久記錄每個用戶登錄、註銷及系統的啓動、停機的事件。因此隨着系統正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端 tty或時間顯示相應的記錄。