Linux内置的审计跟踪工具:last命令
last显示的是自/var/log/wtmp文件创建起所有登录(和登出)的用户。这个文件是二进制文件,它不能被文本编辑器浏览,比如vi、Joe或者其他软件。这是非常有用的,因为用户(或者root)不能像他们希望的那样修改这个文件。
last会给出所有已登录用户的用户名、tty、IP地址(如果用户是远程连接的话)、日期-时间和用户已经登录的时间。
第一列告诉谁是用户
第二列给出了用户如何连接的信息
pts/0 (伪终端) 意味着从诸如SSH或telnet的远程连接的用户
tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户
除了重启活动,所有状态会在启动时显示
第三列显示用户来自哪里。如果用户来自于远程计算机,你会看到一个主机名或者IP地址。如果你看见:0.0 或者什么都没有,这意味着用户通过本地终端连接。除了重启活动,内核版本会显示在状态中。
第四列:开始时间
第五列:结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)
第六列:持续时间
剩下的列显示日志活动发生在何时。括号中的数字告诉我们连接持续了多少小时和分钟。
显示完整登入登出时间日期 使用 -F 参数
[root@]# last |head
wan pts/0 11.10.17.24 Tue Sep 27 20:24 still logged in
wan pts/0 11.10.17.24 Tue Sep 27 19:30 – 19:31 (00:01) #19:30 登录到19:31
wan pts/1 11.10.17.24 Tue Sep 27 19:27 – 19:31 (00:03)
[root@]# last -n 3
wan pts/0 11.10.17.24 Tue Sep 27 20:24 still logged in
wan pts/0 11.08.17.24 Tue Sep 27 19:30 – 19:31 (00:01)
wan pts/1 11.08.17.24 Tue Sep 27 19:27 – 19:31 (00:03)
查看登录系统用户并将非法登录用户用踢出 https://www.linuxchina.net/?p=3431
https://www.ibm.com/support/knowledgecenter/zh/ssw_aix_72/com.ibm.aix.cmds3/last.htm
http://blog.csdn.net/chaofanwei/article/details/11826567
http://os.51cto.com/art/201402/430091.htm
https://linux.cn/thread-12343-1-1.html