Linux命令之last 查看用户登录信息

last作用是显示近期用户或终端的登录情况。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接系统。

root@MongoDB ~]# last
root     pts/1        192.168.0.106    Tue May 14 12:41   still logged in   
root     pts/0        192.168.0.106    Tue May 14 10:10   still logged in   
reboot   system boot  3.10.0-957.el7.x Tue May 14 10:07 - 12:41  (02:33)

last -n 3  // 来显示最近的n条登录记录
root     pts/0        10.96.0.1        Fri Nov 10 17:38   still logged in
root     pts/0        10.96.0.1        Fri Nov 10 17:12 - 17:38  (00:26)
reboot   system boot  5.10.0-153.12.0. Fri Nov 10 17:12   still running

last -3
root     pts/0        10.96.0.1        Fri Nov 10 17:38   still logged in
root     pts/0        10.96.0.1        Fri Nov 10 17:12 - 17:38  (00:26)
reboot   system boot  5.10.0-153.12.0. Fri Nov 10 17:12   still running

显示指定用户登录记录

last root
root     pts/0        10.96.0.1        Fri Nov 10 17:38   still logged in
root     pts/0        10.96.0.1        Fri Nov 10 17:12 - 17:38  (00:26)
root     tty1                          Fri Nov 10 17:00 - crash  (00:11)
root     pts/0        10.96.0.1        Fri Nov 10 09:52 - crash  (07:08)
root     pts/0        10.96.0.1        Fri Nov 10 09:07 - crash  (00:43)
root     tty1                          Thu Nov  9 16:39 - crash  (16:27)
root     pts/0        10.96.0.1        Thu Nov  9 07:19 - crash  (09:19)

-num |-n num指定输出记录的条数
-f file 指定记录文件作为查询的log文件
-t YYYYMMDDHHMMSS 显示指定时间之前的登录情况
username 账户名称<br>tty 终端机编号

第一列：用户名

第二列：终端位置（pts/0伪终端，意味着从SSH或telnet等工具远程连接的用户，图形界面终端归于此类。tty0直接连接到计算机或本地连接的用户。后面的数字代表连接编号）

第三列：登录IP或内核（如果是：0.0或者什么都没有，意味着用户通过本地终端连接。除了重启活动，内核版本会显示在状态中）

第四列：开始时间

第五列：结束时间（still login in尚未退出，down直到正常关机，crash直到强制关机）

第六列：持续时间

指定显示记录的数量（显示记录中最后登录的数量）