首页 > 文章 > linux

Linux用户登录记录查看方法详解

时间：2026-04-17 09:30:51 416浏览收藏

Linux系统中用户登录记录的查询并非单一命令就能搞定，而是需要根据需求精准选用last（查成功登录流水）、lastlog（查各用户最后一次登录时间，需root权限）和lastb（查失败尝试，依赖btmp启用）三个互补工具，并深刻理解其背后对应的wtmp、lastlog、btmp三类二进制日志文件的存储机制——它们各自独立、循环覆盖、不自动归档，且易受系统配置、权限、空间限制甚至暴力破解清空策略影响；真正关键的不是命令语法，而是明白“为什么查不到”：可能是日志未启用、已被覆盖、权限不足，或根本没记录——掌握这三层日志的职责边界与生命周期，才能在安全审计、故障排查或入侵分析中做到有据可查、闭环验证。

Linux如何查看用户登录记录_Linux用户登录记录查看解析

直接看 last，它是最接近“完整登录流水账”的命令；但别指望它能查到失败尝试、也不代表所有登录都留痕——得结合 lastlog 和 lastb 才算闭环。

查最近成功登录：用 `last` 但注意 wtmp 覆盖机制

默认执行 last 就读 /var/log/wtmp，按时间倒序列出所有成功登录/登出记录。但它不是“永久日志”，而是循环覆盖式存储：

旧记录会被新登录挤掉，尤其在高并发或长期运行的系统上，last 可能只显示最近几天甚至几小时的记录
确认是否还有内容：ls -lh /var/log/wtmp，大小为 0 表示没启用或已损坏
加 -n 10 限制行数，避免卡住；加 -R 屏蔽主机名，让 IP 更清晰；加 -a 把 IP 拖到末列，方便 awk 提取
容器或嵌入式 Linux 常默认禁用 wtmp，此时 last 输出为空，不是你漏操作，是压根没记

查某用户最后一次登录时间：用 `lastlog` 但必须 root 权限

lastlog 读的是 /var/log/lastlog，每个 UID 占固定字节，只存「最后一次」，不按时间排序，也不记录登出：

普通用户运行会报 Permission denied，必须用 sudo lastlog 或切 root
lastlog -u username 查指定用户；lastlog -t 7 查最近 7 天内有登录行为的用户（注意：不是“某用户最近 7 天的登录”，而是“哪些人在 7 天内登过”）
输出里显示 **Never logged in** 就是真的没登过，last 不会出现这行，所以两者互补
该文件不记录失败尝试、不记录登出、不记录终端类型变化（比如从 tty1 切到 pts/0），纯看“有没有来过”

查失败登录尝试：用 `lastb` 但需确认 btmp 是否启用

lastb 对应的是 /var/log/btmp，专存认证失败记录（如密码错、账号不存在），但这个文件默认可能为空或未启用：

先检查权限和存在性：ls -l /var/log/btmp，正常应为 -rw------- 1 root root，大小非零
若提示 No such file or directory，说明系统没开启失败记录，需检查 PAM 配置（通常是 /etc/pam.d/common-auth 或 system-auth 中是否有 pam_faillock.so 或 pam_tally2.so）
lastb -n 20 看最近 20 条失败记录；IP 显示不全时加 -R；注意它不区分 root 登录失败还是普通用户，得靠用户名字段过滤
该文件容易被暴力破解刷爆，某些运维策略会定期清空（echo > /var/log/btmp），所以不能默认它“一直可用”

查当前谁在线：用 `who` 和 `w` 但注意 utmp 实时性

who 和 w 都读 /var/run/utmp，反映的是此刻活跃会话，不是历史记录：

who 输出简洁，含用户名、终端、登录 IP（括号内）、时间；w 多一列当前运行的命令，适合快速判断用户在干啥
who /var/log/wtmp 是个常见误区——它其实也能读历史，但输出格式和 last 不同，且不带登出时间和持续时长，实用性低
如果用户用 screen 或 tmux 后 detach，who 仍显示在线，但 last 的“still logged in”可能已消失，因为会话状态不完全同步
SSH 连接断开但进程未退出（比如网络闪断），who 可能还挂着，但实际已不可交互，需结合 ps 或 lsof -i :22 辅助判断