Linux命令行中last命令的实用技巧

last命令用于查看Linux用户登录历史，读取/var/log/wtmp文件。1. 查看指定用户登录记录：执行last username（如last alice）可审计特定账户活动；2. 限制输出行数：使用last -n 10或last -10避免刷屏，便于脚本处理；3. 识别远程登录来源：pts/0后跟随IP表示SSH登录，last -i强制显示IP地址以提升安全监控效率；4. 检查系统重启与关机记录：last reboot显示启动历史，reboot和shutdown条目帮助判断宕机或维护情况。结合管道与grep（如last | grep "ssh"）可筛选登录方式，是运维中高效的安全分析工具。

last命令是Linux系统中用于查看用户登录历史的强大工具，它读取/var/log/wtmp文件并以可读格式展示登录记录。掌握一些实用技巧能帮助系统管理员快速排查问题、分析安全事件或了解系统使用情况。

1. 查看指定用户的登录记录

如果只想查看某个用户的登录历史，可以直接在last后跟用户名：

• last username —— 显示该用户的所有登录记录
• 例如：last alice 可查看用户alice的登录时间、来源IP和登出时间

这在审计特定账户活动时非常有用，比如怀疑账户异常登录时快速定位时间点。

2. 限制输出行数避免刷屏

默认情况下last会输出大量记录，可通过-n参数控制显示条目数量：

• last -n 10 或简写为 last -10 —— 仅显示最近10条记录
• 适合快速查看最新登录情况，尤其在脚本中处理数据时防止输出过多

3. 识别远程登录来源（IP地址）

last会显示登录终端和来源主机名或IP：

Shell脚本编写基础 中文WORD版

Shell本身是一个用C语言编写的程序，它是用户使用Linux的桥梁。Shell既是一种命令语言，又是一种程序设计语言。作为命令语言，它交互式地解释和执行用户输入的命令；作为程序设计语言，它定义了各种变量和参数，并提供了许多在高级语言中才具有的控制结构，包括循环和分支。它虽然不是Linux系统核心的一部分，但它调用了系统核心的大部分功能来执行程序、建立文件并以并行的方式协调各个程序的运行。因此，对于用户来说，shell是最重要的实用程序，深入了解和熟练掌握shell的特性极其使用方法，是用好Linux系统

24

查看详情

• 看到类似 pts/0 192.168.1.100 的条目表示SSH远程登录
• 若显示主机名而非IP，可用 last -i 强制显示IP地址（忽略反向DNS解析）
• 有助于识别潜在的外部访问行为，提升安全监控效率

4. 检查系统重启与关机记录

last不仅记录用户登录，还保存系统重启和关机事件：

• reboot 条目显示每次系统启动时间
• shutdown 条目对应关机操作
• 通过这些信息可以判断系统是否意外宕机或计划内维护

例如输入last reboot即可专门查看系统启动历史。

基本上就这些。灵活使用last配合管道和grep，比如last | grep "ssh"，还能进一步筛选特定类型的登录方式。它是日常运维中不可或缺的小而精工具。

以上就是Linux命令行中last命令的实用技巧的详细内容，更多请关注php中文网其它相关文章！