Linux -- last (转)
linux last 命令介绍
功能说明:列出目前与过去登入系统的用户相关信息。
语 法:last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]
补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
参 数:
-a 把从何处登入系统的主机名称或IP地址,显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
last 命令:
功能说明:列出目前与过去登入系统的用户相关信息。
========测试环境: Fedora Core 6.0;内核:2.6.18========
#last用了显示用户登录情况。以下是直接显示固定行数的记录。kkk是新建的用户。
[kkk@localhost ~]$ last -6
kkk pts/2 :0.0 Thu Jul 26 20:48 still logged in
kkk pts/2 :0.0 Thu Jul 26 20:21 - 20:21 (00:00)
kkk :0 Thu Jul 26 20:21 still logged in
reboot system boot 2.6.18-1.2798.fc Thu Jul 26 20:20 (00:41)
kkk pts/2 :0.0 Thu Jul 26 11:16 - 11:46 (00:30)
kkk pts/2 :0.0 Thu Jul 26 10:18 - 10:18 (00:00)
wtmp begins Sun Jul 1 15:17:08 2007
#默认是显示wtmp的记录,btmp能显示的更详细,可以显示远程登录,例如ssh登录。
[root@localhost ~]# last -n 15 -f /var/log/btmp
kkk :0 Thu Jul 26 20:21 still logged in
klot tty1 Fri Jul 20 22:27 gone - no logout
np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)
klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)
root :0 Fri Jul 20 22:22 - 20:21 (5+21:58)
klot :0 Fri Jul 20 22:22 - 22:22 (00:00)
root tty1 Fri Jul 20 20:58 - 22:26 (01:28)
klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)
root tty1 Fri Jul 20 20:54 - 20:55 (00:00)
root tty1 Fri Jul 20 20:54 - 20:54 (00:00)
btmp begins Mon Apr 30 22:05:54 2007
#显示特定tty口的登录,1是tty1的登录情况,看的很清楚的。 np962e76 和 lkdjflkj 和klot其实都没有登
#录成功,我是把密码忘记了。前面两个用户,是根本不存在的,但是也有记录。
[root@localhost ~]# last -n 15 -f /var/log/btmp 1
klot tty1 Fri Jul 20 22:27 gone - no logout
np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)
klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)
root tty1 Fri Jul 20 20:58 - 22:26 (01:28)
klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)
root tty1 Fri Jul 20 20:54 - 20:55 (00:00)
root tty1 Fri Jul 20 20:54 - 20:54 (00:00)
root tty1 Fri Jul 20 20:54 - 20:54 (00:00)
lkdjflkj tty1 Fri Jul 20 20:54 - 20:54 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)
btmp begins Mon Apr 30 22:05:54 2007
#显示特定用户的登录情况。
[root@localhost ~]# last -n 15 -f /var/log/btmp klot
klot tty1 Fri Jul 20 22:27 gone - no logout
klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)
klot :0 Fri Jul 20 22:22 - 22:22 (00:00)
klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)
btmp begins Mon Apr 30 22:05:54 2007
#显示登录登出的记录,-x。
[root@localhost ~]# last -n 15 -f /var/log/btmp klot -x
klot tty1 Fri Jul 20 22:27 gone - no logout
klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)
klot :0 Fri Jul 20 22:22 - 22:22 (00:00)
klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)
klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)
btmp begins Mon Apr 30 22:05:54 2007
#-i显示特定ip登录的情况。跟踪用。
[root@localhost ~]# last -n 15 -i 127.0.0.1 -f /var/log/btmp klot
klot tty1 0.0.0.0 Fri Jul 20 22:27 gone - no logout
klot tty1 0.0.0.0 Fri Jul 20 22:26 - 22:26 (00:00)
klot :0 0.0.0.0 Fri Jul 20 22:22 - 22:22 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:58 - 20:58 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:58 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:57 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:54 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:53 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:53 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:52 (00:00)
klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:52 (00:00)
1、清除登陆系统成功的记录,也就是last命令看到的记录
[root@linuxzgf ~]echo > /var/log/wtmp 此文件默认打开时乱码的,里面可以看到ip等等信息
验证过程
[root@linuxzgf ~]#last
root pts/0 10.5.10.51 Thu Sep 2 00:59 still logged in
root pts/2 10.5.10.60 Wed Sep 1 16:11 - 17:47 (01:35)
root pts/2 10.5.10.60 Wed Sep 1 16:08 - 16:10 (00:02)
root pts/0 10.5.10.61 Wed Sep 1 14:16 - 23:02 (08:46)
root pts/3 10.5.10.59 Wed Sep 1 11:28 - 19:38 (08:10)
root pts/2 10.5.10.60 Wed Sep 1 11:18 - 16:07 (04:49)
root pts/1 10.5.10.191 Wed Sep 1 11:17 - 19:12 (07:55)
。。。。。。。。。。。。。。。。。。。。。。。
[root@linuxzgf ~]#echo >/var/log/wtmp
[root@linuxzgf ~]#last
wtmp begins Thu Sep 2 01:04:34 2010
[root@linuxzgf ~]#
此时即看不到用户登录信息
2、清除登陆系统失败的记录,也就是lastb命令看到的记录
[root@linuxzgf ~]echo > /var/log/btmp 此文件默认打开时乱码的
验证方法
在执行命令前执行lastb如下
[root@linuxzgf ~]#lastb
root ssh:notty 10.5.10.60 Wed Sep 1 16:11 - 16:11 (00:00)
tty6 Mon Aug 30 22:53 - 22:53 (00:00)
tty6 Mon Aug 30 18:52 - 18:52 (00:00)
tty6 Mon Aug 30 18:52 - 18:52 (00:00)
++++++ tty6 Mon Aug 30 18:52 - 18:52 (00:00)
linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 11:21 - 11:21 (00:00)
linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 09:37 - 09:37 (00:00)
。。。。。。。。。
然后执行
[root@linuxzgf ~]#echo > /var/log/btmp
[root@linuxzgf ~]#lastb
btmp begins Thu Sep 2 01:01:06 2010
3、清除历史执行命令
[root@linuxzgf ~]history -c
转自:
http://blog.csdn.net/a007zheng/article/details/6985521