linux 查詢登陸成功、失敗的使用者
阿新 • • 發佈:2020-08-07
查詢登陸成功的使用者:
last
單獨執行last指令時,它會讀取位於/var/log/wtmp的檔案,並把該給檔案的內容記錄的登入系統的使用者名稱單全部顯示出來。
如果使用tail、cat命令檢視這檔案,格式對人類不太友好,還是使用命令比較好。
查詢失敗的使用者:
lastb
單獨執行lastb指令,它會讀取位於/var/log/btmp的檔案,並把該檔案內容記錄的登入系統失敗的使用者名稱單,全部顯示出來。
列詳解
-
使用者名稱
顯示成reboot表示:當執行過啟動或者重啟操作在這裡會記錄成reboot -
終端位置(有多種形式)
- pts/0 (偽終端或虛擬終端) 意味著從諸如SSH或telnet的遠端連線的使用者
yunwei pts/0 10.x.x.x Thu Aug 6 14:47 - 15:10 (00:23) yunwei pts/1 10.x.x.x Thu Aug 6 14:13 - 14:55 (00:41)- tty (teletypewriter) 意味著直接連線到計算機或者本地連線的使用者
- system boot —— 執行啟動或者重啟操作
reboot system boot 3.10.0-693.el7.x Mon Dec 9 14:18 - 11:25 (241+21:06)1) -
登陸者的IP or 核心版本
- 登入ip
- 核心版本版本(猜測顯示這些記錄應該是屬於系統的操作,如開機,關機,重啟等操作)
- 如果你看見:0.0 或者 什麼都沒有,這意味著使用者通過本地終端連線。
-
開始時間,其中的日期格式為date +"%a %b %d"
-
結束時間,或者 still login in(表示還未退出登陸)
-
登陸持續了多長時間,如果是 still logged in 就會省略持續時間
查前10行和後10行的技巧
這個方法也適合和其它命令配合使用
lastb | head -10
lastb | tail -n 10