Linux最近登录记录查看方法

掌握Linux系统安全，从查看登录记录开始！本文针对Ubuntu 22.04系统，详尽介绍了五种实用方法，助您轻松追踪用户活动，排查安全隐患。通过`last`命令回顾历史登录，`lastlog`命令速览用户最后登录时间，`who`命令掌握当前会话，直接分析`/var/log/auth.log`认证日志，或利用`journalctl`命令深入挖掘系统日志。无论是安全审计还是用户行为分析，本文都能为您提供清晰的操作指南，助力提升服务器安全管理水平。立即学习，成为Linux系统安全专家！

通过last、lastlog、who、auth.log和journalctl命令可全面查看Ubuntu系统登录记录，分别获取历史登录、最后登录时间、当前会话及认证日志，适用于安全审计与用户活动分析。

如果您需要排查系统安全问题或审计用户活动，查看系统最近的登录记录是一个关键步骤。通过分析登录日志，可以了解哪些用户在何时从何处登录过系统。

本文运行环境：Dell PowerEdge服务器，Ubuntu 22.04

一、使用last命令查看登录历史

last命令读取/var/log/wtmp文件，该文件记录了所有用户的登录和注销信息，包括系统重启事件。它能提供按时间倒序排列的登录历史列表。

1、打开终端并输入last命令，系统将显示完整的登录记录。

2、可通过参数限制输出行数，例如输入last -n 10仅显示最近10条记录。

3、若要查看特定用户的登录历史，执行last 用户名，替换“用户名”为实际账户名称。

二、使用lastlog命令查看各用户最后一次登录

lastlog命令用于显示系统中每个用户最后一次成功登录的时间和来源，读取的是/var/log/lastlog文件，适用于快速检查账户活跃状态。

1、在终端中执行lastlog命令，列出所有用户最后一次登录详情。

2、如需筛选特定用户组，可结合grep使用，例如lastlog | grep sudo。

3、要查看某个用户的最后登录情况，运行lastlog -u 用户名。

三、使用who命令查看当前登录用户

who命令读取/var/run/utmp文件，用于显示当前正在登录系统的用户及其登录终端、时间和IP地址等信息。

1、在终端输入who，即可查看当前所有活动会话。

2、添加-a参数可显示全部信息：who -a。

3、结合cut或awk提取特定字段，例如who | awk '{print $1, $2, $4}'仅输出用户名、终端和时间。

四、直接分析/var/log/auth.log日志文件

在基于Debian的系统（如Ubuntu）上，SSH和其他认证活动会被记录在/var/log/auth.log中，包含详细的登录尝试信息，无论是成功还是失败。

1、使用cat、less或tail命令查看日志内容，例如sudo tail -f /var/log/auth.log实时监控新日志。

2、筛选成功的SSH登录记录，执行sudo grep "Accepted" /var/log/auth.log。

3、查找失败的登录尝试，运行sudo grep "Failed" /var/log/auth.log以识别潜在暴力破解行为。

五、使用journalctl查看系统认证日志

对于使用systemd的Linux发行版，journalctl提供了统一的日志访问接口，能够查询包括登录事件在内的系统服务日志。

1、执行sudo journalctl _COMM=sshd查看所有SSH相关日志条目。

2、过滤出成功的登录事件：sudo journalctl _COMM=sshd | grep "Accepted"。

3、按时间范围查询，例如查看今天的所有认证事件：sudo journalctl --since today -u ssh。

今天关于《Linux最近登录记录查看方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！