LINUX怎么查看系统最近的登录记录_Linux查看系统登录记录方法

通过last、lastlog、who、auth.log和journalctl命令可全面查看Ubuntu系统登录记录，分别获取历史登录、最后登录时间、当前会话及认证日志，适用于安全审计与用户活动分析。

如果您需要排查系统安全问题或审计用户活动，查看系统最近的登录记录是一个关键步骤。通过分析登录日志，可以了解哪些用户在何时从何处登录过系统。

本文运行环境：Dell PowerEdge服务器，Ubuntu 22.04

一、使用last命令查看登录历史

last命令读取/var/log/wtmp文件，该文件记录了所有用户的登录和注销信息，包括系统重启事件。它能提供按时间倒序排列的登录历史列表。

1、打开终端并输入last命令，系统将显示完整的登录记录。

2、可通过参数限制输出行数，例如输入last -n 10仅显示最近10条记录。

3、若要查看特定用户的登录历史，执行last 用户名，替换“用户名”为实际账户名称。

二、使用lastlog命令查看各用户最后一次登录

lastlog命令用于显示系统中每个用户最后一次成功登录的时间和来源，读取的是/var/log/lastlog文件，适用于快速检查账户活跃状态。

1、在终端中执行lastlog命令，列出所有用户最后一次登录详情。

2、如需筛选特定用户组，可结合grep使用，例如lastlog | grep sudo。

3、要查看某个用户的最后登录情况，运行lastlog -u 用户名。

三、使用who命令查看当前登录用户

who命令读取/var/run/utmp文件，用于显示当前正在登录系统的用户及其登录终端、时间和IP地址等信息。

1、在终端输入who，即可查看当前所有活动会话。

YFCMS企业网站管理系统EXT4.0

功能介绍：后台功能介绍1.系统管理：（1）基本信息管理包括网站名称，域名，管理员昵称，联系电话，邮箱和网站关键字等等的设置。（2） 密码修改 系统管理员密码修改（3）后台登陆记录查看2.新闻管理：（1）新闻管理包括新闻的修改删除（2）添加新闻可添加文字新闻和图片新闻，采用EWEB编辑器操作简便（3）新闻分类管理可自由的添加和删除新闻分类3.产品管理：（1）管理产品可对数据库现有进行修改和删除（2）

0

查看详情

2、添加-a参数可显示全部信息：who -a。

3、结合cut或awk提取特定字段，例如who | awk '{print $1, $2, $4}'仅输出用户名、终端和时间。

四、直接分析/var/log/auth.log日志文件

在基于Debian的系统（如Ubuntu）上，SSH和其他认证活动会被记录在/var/log/auth.log中，包含详细的登录尝试信息，无论是成功还是失败。

1、使用cat、less或tail命令查看日志内容，例如sudo tail -f /var/log/auth.log实时监控新日志。

2、筛选成功的SSH登录记录，执行sudo grep "Accepted" /var/log/auth.log。

3、查找失败的登录尝试，运行sudo grep "Failed" /var/log/auth.log以识别潜在暴力破解行为。

五、使用journalctl查看系统认证日志

对于使用systemd的Linux发行版，journalctl提供了统一的日志访问接口，能够查询包括登录事件在内的系统服务日志。

1、执行sudo journalctl _COMM=sshd查看所有SSH相关日志条目。

2、过滤出成功的登录事件：sudo journalctl _COMM=sshd | grep "Accepted"。

3、按时间范围查询，例如查看今天的所有认证事件：sudo journalctl --since today -u ssh。

以上就是LINUX怎么查看系统最近的登录记录_Linux查看系统登录记录方法的详细内容，更多请关注php中文网其它相关文章！