last — 顯示使用者的登入歷史記錄
顯示使用者的登入歷史,包含時間、來源 IP 和登入時長。
語法
last [選項] [使用者名稱] [tty]常用選項
| 選項 | 說明 | 範例 |
|---|---|---|
-n N |
只顯示最近 N 條記錄 | last -n 20 |
-F |
顯示完整的日期時間(含年份) | last -F |
-i |
顯示 IP 而非主機名稱 | last -i |
-x |
顯示系統關機與執行等級變化記錄 | last -x |
-f 檔案 |
從指定的 wtmp 檔案讀取 | last -f /var/log/wtmp.1 |
reboot |
只顯示系統重啟記錄 | last reboot |
使用範例
範例 1:查看最近的登入記錄
顯示最近 20 筆登入記錄,包含使用者、終端機、來源和時間。
$ last -n 20alice pts/0 192.168.1.10 Tue May 20 09:00 still logged in
bob pts/1 10.0.0.5 Tue May 20 08:30 - 10:00 (01:30)
root tty1 Mon May 19 22:00 - 22:15 (00:15)
reboot system boot 5.15.0-105 Mon May 19 20:00 still running
範例 2:查看特定使用者的登入記錄
只顯示 alice 的所有歷史登入記錄。
$ last alicealice pts/0 192.168.1.10 Tue May 20 09:00 still logged in
alice pts/1 192.168.1.10 Mon May 19 18:30 - 19:45 (01:15)
範例 3:查看系統重啟歷史
了解系統重啟頻率,確認是否有非預期的重啟。
$ last rebootreboot system boot 5.15.0-105 Mon May 19 20:00 still running
reboot system boot 5.15.0-100 Fri May 15 08:00 - Mon May 19 20:00 (4+12:00)
範例 4:查看失敗的登入嘗試
使用 lastb 查看失敗的登入嘗試(讀取 /var/log/btmp),用於排查入侵嘗試。
$ sudo lastb -n 20admin ssh:notty 203.0.113.5 Tue May 20 03:15 - 03:15 (00:00)
root ssh:notty 203.0.113.5 Tue May 20 03:14 - 03:14 (00:00)