Linux最近登录记录查看方法

想快速掌握Linux系统中用户最近的登录行为、排查异常访问或加强安全审计？本文全面梳理了五类核心方法：用last命令追溯成功登录历史，用lastlog精准定位各用户末次登录时间与来源，用lastb揪出暴力破解等失败登录尝试，通过直接分析/var/log/secure日志获取PAM认证级细节，再结合w/who等实时命令确认当前活跃会话——无需额外工具，仅凭系统原生命令即可完成从历史回溯到实时监控的完整登录行为分析。

如果您需要快速掌握当前系统中用户最近的登录行为，可通过内置命令直接读取系统日志文件。以下是查看最近登录记录的多种方法：

一、使用 last 命令查看近期登录历史

last 命令从 /var/log/wtmp 文件中读取登录、注销及系统重启记录，按时间倒序显示，适用于审计与日常排查。

1、在终端中直接输入 last，回车执行，将列出所有用户最近的完整登录会话。

2、输入 last -n 20，仅显示最近20条登录记录。

3、输入 last -a，将IP地址显示在输出的最后一列，便于识别远程来源。

4、输入 last -x，同时显示系统关机、重启和运行级别变更事件。

5、输入 last root，仅筛选并显示 root 用户的登录历史。

6、输入 last -t 20260325，显示自2026年3月25日以来的所有登录记录。

二、使用 lastlog 命令查看各用户最后一次登录

lastlog 命令读取 /var/log/lastlog 文件，以 UID 顺序列出每个用户最后一次成功登录的时间、终端和源 IP，需 root 权限才能完整显示全部用户信息。

1、执行 sudo lastlog，显示系统中所有用户的最后登录状态，未登录用户显示 Never logged in。

2、执行 sudo lastlog -u www，仅显示用户名为 www 的用户最近一次登录详情。

3、执行 sudo lastlog -t 7，仅列出过去7天内有登录行为的用户记录。

4、执行 sudo lastlog -b 30，仅显示距今30天以前的最后登录信息。

三、使用 lastb 查看失败登录尝试

lastb 命令用于读取 /var/log/btmp 文件，专门展示认证失败的登录尝试，是安全审计的关键入口。

1、执行 sudo lastb，列出所有失败的登录记录，包括用户名、终端、来源 IP 和时间。

2、执行 sudo lastb | head -20，仅显示最近20条失败登录条目。

3、执行 sudo lastb | grep '192.168.1.100'，筛选来自指定 IP 的失败尝试。

4、执行 sudo lastb -i，将失败记录中的 IP 地址以数字形式而非主机名显示。

四、直接读取系统日志文件进行补充核查

当 last 或 lastlog 输出异常或需交叉验证时，可手动检查底层日志文件，其中 /var/log/secure 记录了 PAM 认证全过程，包含详细时间戳与模块反馈。

1、执行 sudo tail -30 /var/log/secure，查看最近30行认证相关日志。

2、执行 sudo grep 'Failed password' /var/log/secure，提取所有密码错误事件。

3、执行 sudo grep 'Accepted publickey' /var/log/secure，定位密钥方式成功登录记录。

4、执行 sudo less /var/log/wtmp 不可直接阅读，需配合 last 命令解析；但可确认该文件存在且未被清空。

五、结合 utmp 实时会话状态进行即时验证

utmp 文件记录当前活跃登录会话，w 命令和 who 命令均基于此文件，可快速确认谁正在系统中活动，不依赖历史归档。

1、执行 who，显示当前已登录用户、终端、登录时间和来源 IP（若启用）。

2、执行 w，除 who 的信息外，还附加每个用户当前运行的命令及系统负载。

3、执行 users，仅以空格分隔形式列出所有当前登录用户名。

4、执行 who am i，精确显示当前终端所属的登录用户及终端标识。

本篇关于《Linux最近登录记录查看方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！