Linux -- last (转)

 

linux last 命令介绍 

  功能说明:列出目前与过去登入系统的用户相关信息。 

  语  法:last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...] 

  补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。 

  参  数:

  -a  把从何处登入系统的主机名称或IP地址,显示在最后一行。

  -d  将IP地址转换成主机名称。

  -f <记录文件>  指定记录文件。

  -n <显示列数>或-<显示列数>  设置列出名单的显示列数。

  -R  不显示登入系统的主机名称或IP地址。

  -x  显示系统关机,重新开机,以及执行等级的改变等信息。 

last 命令:

功能说明:列出目前与过去登入系统的用户相关信息。 

========测试环境: Fedora Core 6.0;内核:2.6.18========

#last用了显示用户登录情况。以下是直接显示固定行数的记录。kkk是新建的用户。

[kkk@localhost ~]$ last -6

kkk     pts/2        :0.0             Thu Jul 26 20:48   still logged in   

kkk     pts/2        :0.0             Thu Jul 26 20:21 - 20:21 (00:00)    

kkk     :0                            Thu Jul 26 20:21   still logged in   

reboot   system boot 2.6.18-1.2798.fc Thu Jul 26 20:20          (00:41)    

kkk     pts/2        :0.0             Thu Jul 26 11:16 - 11:46 (00:30)    

kkk     pts/2        :0.0             Thu Jul 26 10:18 - 10:18 (00:00)    

 

wtmp begins Sun Jul 1 15:17:08 2007

 

#默认是显示wtmp的记录,btmp能显示的更详细,可以显示远程登录,例如ssh登录。

[root@localhost ~]# last -n 15 -f /var/log/btmp

kkk     :0                            Thu Jul 26 20:21   still logged in   

klot     tty1                          Fri Jul 20 22:27    gone - no logout 

np962e76 tty1                          Fri Jul 20 22:26 - 22:27 (00:00)    

klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    

root     :0                            Fri Jul 20 22:22 - 20:21 (5+21:58)   

klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    

root     tty1                          Fri Jul 20 20:58 - 22:26 (01:28)    

klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

reboot   tty1                          Fri Jul 20 20:55 - 20:57 (00:02)    

root     tty1                          Fri Jul 20 20:54 - 20:55 (00:00)    

root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00) 

btmp begins Mon Apr 30 22:05:54 2007

#显示特定tty口的登录,1是tty1的登录情况,看的很清楚的。 np962e76 和 lkdjflkj 和klot其实都没有登

#录成功,我是把密码忘记了。前面两个用户,是根本不存在的,但是也有记录。

[root@localhost ~]# last -n 15 -f /var/log/btmp 1

klot     tty1                          Fri Jul 20 22:27    gone - no logout 

np962e76 tty1                          Fri Jul 20 22:26 - 22:27 (00:00)    

klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    

root     tty1                          Fri Jul 20 20:58 - 22:26 (01:28)    

klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

reboot   tty1                          Fri Jul 20 20:55 - 20:57 (00:02)    

root     tty1                          Fri Jul 20 20:54 - 20:55 (00:00)    

root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    

root     tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    

lkdjflkj tty1                          Fri Jul 20 20:54 - 20:54 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    

 

btmp begins Mon Apr 30 22:05:54 2007

#显示特定用户的登录情况。

[root@localhost ~]# last -n 15 -f /var/log/btmp klot

klot     tty1                          Fri Jul 20 22:27    gone - no logout 

klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    

klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    

klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    

 

btmp begins Mon Apr 30 22:05:54 2007

#显示登录登出的记录,-x。

[root@localhost ~]# last -n 15 -f /var/log/btmp klot -x

klot     tty1                          Fri Jul 20 22:27    gone - no logout 

klot     tty1                          Fri Jul 20 22:26 - 22:26 (00:00)    

klot     :0                            Fri Jul 20 22:22 - 22:22 (00:00)    

klot     tty1                          Fri Jul 20 20:58 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:58 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:54 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:53 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    

klot     tty1                          Fri Jul 20 20:52 - 20:52 (00:00)    

 

btmp begins Mon Apr 30 22:05:54 2007

#-i显示特定ip登录的情况。跟踪用。

[root@localhost ~]# last -n 15 -i 127.0.0.1 -f /var/log/btmp klot

klot     tty1         0.0.0.0          Fri Jul 20 22:27    gone - no logout 

klot     tty1         0.0.0.0          Fri Jul 20 22:26 - 22:26 (00:00)    

klot     :0           0.0.0.0          Fri Jul 20 22:22 - 22:22 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:58 - 20:58 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:58 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:57 - 20:57 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:54 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:53 - 20:53 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:53 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:52 (00:00)    

klot     tty1         0.0.0.0          Fri Jul 20 20:52 - 20:52 (00:00)    

 

1、清除登陆系统成功的记录,也就是last命令看到的记录

[root@linuxzgf ~]echo > /var/log/wtmp 此文件默认打开时乱码的,里面可以看到ip等等信息

 

验证过程

[root@linuxzgf ~]#last

root     pts/0        10.5.10.51       Thu Sep  2 00:59   still logged in   

root     pts/2        10.5.10.60       Wed Sep  1 16:11 - 17:47  (01:35)    

root     pts/2        10.5.10.60       Wed Sep  1 16:08 - 16:10  (00:02)    

root     pts/0        10.5.10.61       Wed Sep  1 14:16 - 23:02  (08:46)    

root     pts/3        10.5.10.59       Wed Sep  1 11:28 - 19:38  (08:10)    

root     pts/2        10.5.10.60       Wed Sep  1 11:18 - 16:07  (04:49)    

root     pts/1        10.5.10.191      Wed Sep  1 11:17 - 19:12  (07:55)    

。。。。。。。。。。。。。。。。。。。。。。。

 

[root@linuxzgf ~]#echo >/var/log/wtmp 

[root@linuxzgf ~]#last

 

wtmp begins Thu Sep  2 01:04:34 2010

[root@linuxzgf ~]#

 

此时即看不到用户登录信息 

2、清除登陆系统失败的记录,也就是lastb命令看到的记录

[root@linuxzgf ~]echo > /var/log/btmp 此文件默认打开时乱码的

 

验证方法

在执行命令前执行lastb如下

[root@linuxzgf ~]#lastb

root     ssh:notty    10.5.10.60       Wed Sep  1 16:11 - 16:11  (00:00)    

         tty6                          Mon Aug 30 22:53 - 22:53  (00:00)    

         tty6                          Mon Aug 30 18:52 - 18:52  (00:00)    

         tty6                          Mon Aug 30 18:52 - 18:52  (00:00)    

  ++++++ tty6                          Mon Aug 30 18:52 - 18:52  (00:00)    

linuxzgf    ssh:notty    10.5.10.60       Mon Aug 30 11:21 - 11:21  (00:00)    

linuxzgf    ssh:notty    10.5.10.60       Mon Aug 30 09:37 - 09:37  (00:00)    

。。。。。。。。。

 

然后执行

[root@linuxzgf ~]#echo > /var/log/btmp 

[root@linuxzgf ~]#lastb

 btmp begins Thu Sep  2 01:01:06 2010 

3、清除历史执行命令 

[root@linuxzgf ~]history -c  

转自:

http://blog.csdn.net/a007zheng/article/details/6985521

posted @ 2014-09-06 09:15  IceSword-syy  阅读(186)  评论(0编辑  收藏  举报