在Linux里,想知道谁登录过系统、什么时候登录的,查看登录历史很有用。不管是管理员查异常,还是用户确认自己的登录情况,这都是基础操作。那么如何在Linux中查看用户登录历史?以下是具体的操作方法。
使用last命令查看登录记录
last是最常用的查看用户登录历史的命令,它读取/var/log/wtmp文件,显示用户最近的登录和登出记录。
直接运行last显示所有用户的登录历史
查看特定用户的登录记录:例如last username
输出包含登录用户名、终端、来源IP、登录时间、登出时间和持续时长
可以看到reboot记录,表示系统重启时间
使用lastlog查看用户最后一次登录
lastlog命令读取/var/log/lastlog文件,显示每个用户最后一次成功登录的时间和位置。
运行lastlog显示所有用户最后一次登录信息
查看特定用户:lastlog -u username
长时间未登录的账户会显示“**Never logged in**”
检查失败登录尝试(使用 faillog)
faillog用于查看登录失败的历史,有助于发现暴力破解行为。
执行faillog显示失败登录记录
查看某用户:faillog -u username
可重置失败计数:faillog -r
日志来自 /var/log/faillog
查看系统认证日志(/var/log/auth.log 或 /var/log/secure)
更详细的登录活动(包括SSH登录尝试)通常记录在认证日志中。
Ubuntu/Debian系统查看:tail /var/log/auth.log
CentOS/RHEL系统查看:tail /var/log/secure
可用grep过滤关键词,如 grep "Failed" /var/log/auth.log
可看到来源IP、认证方式、是否成功等详细信息
