查看登录记录

在 Linux 系统中，查看登录记录通常可以通过以下几种方式来实现：

1. last 命令

last 命令显示登录记录、用户登出信息和系统重启记录。它会从 /var/log/wtmp 文件中读取数据。

last

这个命令会列出所有的登录和登出记录，显示用户登录的时间、登录持续时长以及登录的来源 IP 地址（如果是远程登录的话）。

你可以使用一些选项来过滤输出：

• last -a：在输出的末尾显示登录的 IP 地址或主机名。
• last -n <number>：只显示最近的 <number> 条记录。例如，last -n 10 会显示最近的 10 条登录记录。

2. lastlog 命令

lastlog 命令显示系统中所有用户的最后一次登录记录。它会从 /var/log/lastlog 文件中读取数据。

lastlog

这将显示每个用户的最后登录时间、登录终端和登录的 IP 地址（如果有的话）。

3. 查看 /var/log/auth.log 或 /var/log/secure

登录的详细信息，特别是与 SSH 登录相关的，会记录在 auth.log 或 secure 文件中，具体取决于不同的 Linux 发行版。

• 对于 Debian/Ubuntu 系统，查看 /var/log/auth.log 文件：

  sudo cat /var/log/auth.log | grep 'session opened'

• 对于 Red Hat/CentOS 系统，查看 /var/log/secure 文件：

  sudo cat /var/log/secure | grep 'session opened'

这些日志文件会包含每次登录的详细信息，包括用户名、登录时间、IP 地址、是否成功等。

4. who 命令

who 命令显示当前登录的用户信息。例如：

who

它会显示当前登录的用户、登录时间、终端以及 IP 地址等信息。

5. w 命令

w 命令比 who 命令显示更多的信息，包括用户的活动状态（例如是否正在执行某个命令）和系统负载等：

w

6. utmpdump 命令

utmpdump 用于查看 utmp 文件的内容，utmp 文件记录了当前登录用户的信息。你可以使用它来分析登录历史。

sudo utmpdump /var/run/utmp

这会列出当前系统中所有登录的用户信息。

总结

• 使用 last 查看登录历史。
• 使用 lastlog 查看每个用户的最后一次登录时间。
• 查看 /var/log/auth.log 或 /var/log/secure 获取详细的认证信息。
• 使用 who 和 w 查看当前的登录用户和活动状态。

这些方法应该能帮助你查看 Linux 系统中的登录记录。