CentOS/RHEL 查看用户登陆信息

查看登陆失败的的日志

1 # grep "Failed" /var/log/secure
2 # grep "authentication failure" /var/log/secure

查看登陆失败的帐号和次数

1 # grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr

CentOS/RHEL 7 可以使用journalctl来查看

1 # journalctl _SYSTEMD_UNIT=sshd.service | grep "failure"
2 # journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"

 查看当前用户登陆信息

who:
    缺省输出包括用户名、终端类型、登陆日期以及远程主机。

who /var/log/wtmp
    可以查看自从wtmp文件创建以来的每一次登陆情况
    -H:打印每列的标题

who -b
    显示最近一次系统启动的时间

 1 [root@oc5800450712 ~]# who
 2 risen    :0           2019-09-20 08:42 (:0)
 3 risen    pts/0        2019-09-20 08:43 (:0)
 4 
 5 [root@oc5800450712 ~]# who -H
 6 NAME     LINE         TIME             COMMENT
 7 risen    :0           2019-09-20 08:42 (:0)
 8 risen    pts/0        2019-09-20 08:43 (:0)
 9 
10 [root@oc5800450712 ~]# who -H /var/log/wtmp
11 NAME     LINE         TIME             COMMENT
12 risen    :0           2019-07-19 09:01 (:0)
13 risen    pts/2        2019-07-19 09:03 (:0)
14 risen    :0           2019-07-22 09:02 (:0)
15 risen    pts/0        2019-07-22 09:03 (:0)
16 risen    :0           2019-07-23 08:51 (:0)
17 risen    pts/0        2019-07-23 08:53 (:0)
1 [root@oc5800450712 ~]# who -b
2          system boot  2019-09-20 16:42

查看用户登陆历史

lastlog命令
查看所有用户最近一次登录历史
命令将读取/var/log/lastlog文件;用户排列顺序按照/etc/passwd中的顺序
选项:
(1) -u:查看某个用户的最后一次登陆历史
例如: lastlog -u test
查看用户test的登陆历史
(2) -t:查看最近几天之内的用户登录历史
例如: lastlog -t 1
查看最近1天之内的登陆历史
(3) -b:查看指定天数之前的用户登录历史
例如: lastlog -b 60
查看60天之前的用户登录历史

last命令
查看用户登录历史
此命令会读取 /var/log/wtmp文件;/var/log/btmp可以显示远程登陆信息。
last默认打印所有用户的登陆信息。
如果想打印某个用户的登陆信息,可以使用
last 用户名

 

posted @ 2019-09-20 09:38  Cross+  阅读(876)  评论(0编辑  收藏  举报