last命令的功能是用于显示用户历史登录情况,通过查看系统记录的日志文件内容,进而使管理员可以获知谁曾经或者试图连接过服务器。

通过读取系统登陆历史日志文件(/var/log/wtmp)并按照用户名、登录终端、来源终端、时间等信息进行划分,让用户对系统历史登录情况一目了然。

语法格式:last [选项]

常用参数:

-n显示行数
-a将来源终端信息项放置放到最后
-R省略来源终端
-d将IP地址转换成主机名称
-f指定记录文件
-x显示系统开关机等信息

参考实例

显示近期用户或终端的历史登录情况:

[root@linuxcool ~]# last

root     tty2         tty2             Mon Oct 17 03:13    gone - no logout
reboot   system boot  4.18.0-80.el8.x8 Mon Oct 17 03:05   still running
root     tty2         tty2             Mon Oct 17 03:00 - 03:05  (00:05)
reboot   system boot  4.18.0-80.el8.x8 Mon Oct 17 02:59 - 03:05  (00:06)

wtmp begins Mon Oct 17 02:59:19 2022

仅显示最近3条历史登录情况,并不显示来源终端信息:

[root@linuxcool ~]# last -n 3 -R
root     tty2         Mon Oct 17 03:13    gone - no logout
reboot   system boot  Mon Oct 17 03:05   still running
root     tty2         Mon Oct 17 03:00 - 03:05  (00:05)

wtmp begins Mon Oct 17 02:59:19 2022

显示系统的开关机历史信息,并将来源终端放置到最后面:

[root@linuxcool ~]# last -x -a 
root     tty2         Mon Oct 17 03:13    gone - no logout  tty2
runlevel (to lvl 5)   Mon Oct 17 03:06   still running      4.18.0-80.el8.x86_64
reboot   system boot  Mon Oct 17 03:05   still running      4.18.0-80.el8.x86_64
shutdown system down  Mon Oct 17 03:05 - 03:05  (00:00)     4.18.0-80.el8.x86_64
root     tty2         Mon Oct 17 03:00 - 03:05  (00:05)     tty2
runlevel (to lvl 5)   Mon Oct 17 02:59 - 03:05  (00:05)     4.18.0-80.el8.x86_64
reboot   system boot  Mon Oct 17 02:59 - 03:05  (00:06)     4.18.0-80.el8.x86_64

wtmp begins Mon Oct 17 02:59:19 2022
Author

这篇优质的内容由TA贡献而来

刘遄

《Linux就该这么学》书籍作者,RHCA认证架构师,教育学(计算机专业硕士)。