Linux用户登录记录查看方法

本文深入解析了Linux系统中查看用户登录记录的核心命令与日志机制，重点讲解了`last`（读取二进制`/var/log/wtmp`，追踪完整成功登录历史）、`lastb`（分析失败登录的`/var/log/btmp`）和`lastlog`（仅显示各用户最后一次登录的`/var/log/lastlog`）三者的功能差异、使用技巧及权限限制；同时揭示了日志可靠性背后的隐患——如wtmp可被root清空、时间篡改会留下`date |`标记、日志不全可能源于循环覆盖或系统精简配置，并强调在安全敏感场景下必须结合多源日志（如auth.log、journalctl）与远程集中审计才能确保记录真实可信。

last 命令默认看的是哪个文件？

它读的是 /var/log/wtmp —— 一个二进制日志文件，记录所有成功登录、登出、重启、关机事件。这不是文本文件，不能用 cat 或 less 直接打开；强行查看只会输出乱码。所以必须用 last 解析，这是设计使然，不是 bug。

• 普通用户也能执行 last，但只能看到自己有权限读的日志内容（通常全部可见）
• 若系统时间被手动改过，last 输出里会出现 date | 或 date { 这样的特殊行，代表日志时间戳断层，需警惕人为干预或时钟异常
• wtmp 不会自动轮转，长期运行的服务器上这个文件可能越来越大，但一般不影响 last 使用；真要清理，得用 logrotate 配置或手动截断（不推荐直接删）

怎么快速定位某个用户的登录行为？

直接加用户名就行：last username。比如查 root 最近 5 次登录：last -n 5 root。输出里每行包含终端（如 pts/0）、来源 IP（如果远程 SSH）、登录起止时间、持续时长。

• 如果某行末尾显示 still logged in，说明该会话当前仍活跃，对应进程可能还在跑
• IP 地址没显示？加上 -a 参数：last -a root，它会把 IP 放在最后一列输出
• 想排除主机名干扰（比如只关心 IP），加 -R：last -R -a root
• 注意：last 显示的是“历史成功登录”，不包含失败尝试——那是 lastb 的职责，它读的是 /var/log/btmp

lastlog 和 last 有什么根本区别？

lastlog 看的是 /var/log/lastlog，只存每个用户「最后一次」登录信息（精确到秒），按 UID 排序，不按时间倒序；而 last 看的是 wtmp，是完整时间线的登录流水账。

• lastlog 必须 root 才能运行，否则报错：Permission denied
• 查某个用户最后一次啥时候登过：lastlog -u username
• 查最近 7 天内有谁登过：lastlog -t 7；查 7 天前的登录：lastlog -b 7
• 一个用户从没登录过，lastlog 就显示 **Never logged in**，很直观；last 则完全不会出现这个人

遇到日志“消失”或“不全”怎么办？

先别急着怀疑被删，wtmp 是循环覆盖式写入的，旧记录会被新记录顶掉；而且某些精简版系统（如容器或嵌入式）压根不启用 wtmp 记录。

• 确认 wtmp 是否存在且非空：ls -lh /var/log/wtmp，大小为 0 表示没记录或损坏
• 查更细粒度的登录过程（比如认证阶段），翻 /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（RHEL/CentOS）
• 如果 last 输出突然中断（比如只显示到上周），可能是 wtmp 被清空过，或者系统启用了 logrotate 但没配好归档策略
• 别依赖单一日志源：结合 last（成功登录）、lastb（失败登录）、journalctl _COMM=sshd（SSH 详细会话）交叉验证

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。