Linux用户登录记录查看方法

本篇文章给大家分享《Linux查看用户登录记录方法》，覆盖了文章的常见基础知识，其实一个语言的全部知识点一篇文章是不可能说完的，但希望通过这些问题，让读者对自己的掌握程度有一定的认识(B 数)，从而弥补自己的不足，更好的掌握它。

last 命令默认读取 /var/log/wtmp 文件，该二进制日志记录所有成功登录、登出、重启和关机事件，需用 last 解析，不可直接用 cat 或 less 查看。

last 命令默认看的是哪个文件？

它读的是 /var/log/wtmp —— 一个二进制日志文件，记录所有成功登录、登出、重启、关机事件。这不是文本文件，不能用 cat 或 less 直接打开；强行查看只会输出乱码。所以必须用 last 解析，这是设计使然，不是 bug。

• 普通用户也能执行 last，但只能看到自己有权限读的日志内容（通常全部可见）
• 若系统时间被手动改过，last 输出里会出现 date | 或 date { 这样的特殊行，代表日志时间戳断层，需警惕人为干预或时钟异常
• wtmp 不会自动轮转，长期运行的服务器上这个文件可能越来越大，但一般不影响 last 使用；真要清理，得用 logrotate 配置或手动截断（不推荐直接删）

怎么快速定位某个用户的登录行为？

直接加用户名就行：last username。比如查 root 最近 5 次登录：last -n 5 root。输出里每行包含终端（如 pts/0）、来源 IP（如果远程 SSH）、登录起止时间、持续时长。

• 如果某行末尾显示 still logged in，说明该会话当前仍活跃，对应进程可能还在跑
• IP 地址没显示？加上 -a 参数：last -a root，它会把 IP 放在最后一列输出
• 想排除主机名干扰（比如只关心 IP），加 -R：last -R -a root
• 注意：last 显示的是“历史成功登录”，不包含失败尝试——那是 lastb 的职责，它读的是 /var/log/btmp

lastlog 和 last 有什么根本区别？

lastlog 看的是 /var/log/lastlog，只存每个用户「最后一次」登录信息（精确到秒），按 UID 排序，不按时间倒序；而 last 看的是 wtmp，是完整时间线的登录流水账。

• lastlog 必须 root 才能运行，否则报错：Permission denied
• 查某个用户最后一次啥时候登过：lastlog -u username
• 查最近 7 天内有谁登过：lastlog -t 7；查 7 天前的登录：lastlog -b 7
• 一个用户从没登录过，lastlog 就显示 **Never logged in**，很直观；last 则完全不会出现这个人

遇到日志“消失”或“不全”怎么办？

先别急着怀疑被删，wtmp 是循环覆盖式写入的，旧记录会被新记录顶掉；而且某些精简版系统（如容器或嵌入式）压根不启用 wtmp 记录。

• 确认 wtmp 是否存在且非空：ls -lh /var/log/wtmp，大小为 0 表示没记录或损坏
• 查更细粒度的登录过程（比如认证阶段），翻 /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（RHEL/CentOS）
• 如果 last 输出突然中断（比如只显示到上周），可能是 wtmp 被清空过，或者系统启用了 logrotate 但没配好归档策略
• 别依赖单一日志源：结合 last（成功登录）、lastb（失败登录）、journalctl _COMM=sshd（SSH 详细会话）交叉验证

今天关于《Linux用户登录记录查看方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！