CentOS下查看最后登录的用户信息
tail /var/log/messages
tail /var/log/secure
我们知道,在redhat下可以用lastlog查看各用户最后登录的信息,用last可以查看指定用户的登录信息。
查看用户登陆信息:
last
命令详解
功能说明:列出目前与过去登入系统的用户相关信息。
语 法:last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]
补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
参 数:
-a 把从何处登入系统的主机名称或IP地址,显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
lastlog
只是记录每个用户上次登录的时间,/var/log/lastlog
例如:查看root和admin在最近20天内是否有登录:
#lastlog -t 20|egrep "root|admin"
查看最近20天内登录的用户,除root和admin之外:
#lastlog -t 20|egrep -v "root|admin"
首先简单介绍一下Centos中记录登陆信息的日志文件有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。
数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。
每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。
在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。
wtmp和utmp文件都是二进制文件,用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
下面来说如何查看Centos用户登陆日志。
1.who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示
| 代码如下 | 复制代码 |
|
root pts/0 2014-03-04 10:03 (218.2.11.178) |
|
2.如果指明了wtmp文件名,则who命令查询以前所有的登陆纪录。使用命令who /var/log/wtmp查看所有登陆记录,结果如下:
| 代码如下 | 复制代码 |
|
lxy ftpd5946 2013-01-09 16:48 (218.2.11.178) |
|
3.last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
| 代码如下 | 复制代码 |
|
root pts/0 218.2.11.178 Tue Mar 4 10:03 still logged in |
|