查看登陆失败的的日志
1 # grep "Failed" /var/log/secure 2 # grep "authentication failure" /var/log/secure
查看登陆失败的帐号和次数
1 # grep "Failed password" /var/log/auth.log | awk ‘{print $11}’ | uniq -c | sort -nr
CentOS/RHEL 7 可以使用journalctl来查看
1 # journalctl _SYSTEMD_UNIT=sshd.service | grep "failure" 2 # journalctl _SYSTEMD_UNIT=sshd.service | grep "Failed"
查看当前用户登陆信息
who:
缺省输出包括用户名、终端类型、登陆日期以及远程主机。
who /var/log/wtmp
可以查看自从wtmp文件创建以来的每一次登陆情况
-H:打印每列的标题
who -b
显示最近一次系统启动的时间
1 [root@oc5800450712 ~]# who 2 risen :0 2019-09-20 08:42 (:0) 3 risen pts/0 2019-09-20 08:43 (:0) 4 5 [root@oc5800450712 ~]# who -H 6 NAME LINE TIME COMMENT 7 risen :0 2019-09-20 08:42 (:0) 8 risen pts/0 2019-09-20 08:43 (:0) 9 10 [root@oc5800450712 ~]# who -H /var/log/wtmp 11 NAME LINE TIME COMMENT 12 risen :0 2019-07-19 09:01 (:0) 13 risen pts/2 2019-07-19 09:03 (:0) 14 risen :0 2019-07-22 09:02 (:0) 15 risen pts/0 2019-07-22 09:03 (:0) 16 risen :0 2019-07-23 08:51 (:0) 17 risen pts/0 2019-07-23 08:53 (:0)
1 [root@oc5800450712 ~]# who -b 2 system boot 2019-09-20 16:42
查看用户登陆历史
lastlog命令 查看所有用户最近一次登录历史 命令将读取/var/log/lastlog文件;用户排列顺序按照/etc/passwd中的顺序 选项: (1) -u:查看某个用户的最后一次登陆历史 例如: lastlog -u test 查看用户test的登陆历史 (2) -t:查看最近几天之内的用户登录历史 例如: lastlog -t 1 查看最近1天之内的登陆历史 (3) -b:查看指定天数之前的用户登录历史 例如: lastlog -b 60 查看60天之前的用户登录历史 last命令 查看用户登录历史 此命令会读取 /var/log/wtmp文件;/var/log/btmp可以显示远程登陆信息。 last默认打印所有用户的登陆信息。 如果想打印某个用户的登陆信息,可以使用 last 用户名