last命令是查看linux用戶登錄登出記錄的直接工具，它讀取/var/log/wtmp文件展示登錄歷史；1. 執(zhí)行l(wèi)ast可查看用戶名、終端、ip、登錄登出時(shí)間及在線時(shí)長(zhǎng)；2. 使用last -n 10可限制輸出最近10條記錄；3. 分析時(shí)關(guān)注不熟悉用戶名、異常ip來(lái)源、非工作時(shí)間登錄和高頻登錄行為；4. 結(jié)合/var/log/auth.log檢查失敗登錄嘗試，排查暴力破解；5. 可用last | grep 用戶名篩選特定用戶的登錄記錄；6. 對(duì)高安全需求，啟用auditd獲取更細(xì)粒度審計(jì)信息；通過(guò)last命令與日志交叉驗(yàn)證，能有效識(shí)別異常登錄行為并提升系統(tǒng)安全可見性。

想查L(zhǎng)inux系統(tǒng)里用戶的登錄登出記錄，

last

用last命令查看登錄歷史

last

/var/log/wtmp

last

last

輸出結(jié)果通常包括用戶名、終端類型（tty或pts）、IP地址（遠(yuǎn)程登錄時(shí)）、登錄時(shí)間、登出時(shí)間以及在線時(shí)長(zhǎng)。比如看到某用戶從陌生IP頻繁登錄，就值得進(jìn)一步排查。

如果只想看最近幾條記錄，可以用

-n

last -n 10

這能快速查看最近10次的登錄情況，避免輸出太多信息干擾判斷。

分析關(guān)鍵字段識(shí)別異常行為

看

last

美圖設(shè)計(jì)室

5分鐘在線高效完成平面設(shè)計(jì)，AI幫你做設(shè)計(jì)

29

查看詳情

• 用戶名：注意

  reboot

  登錄后復(fù)制
  和

  shutdown

  登錄后復(fù)制
  這類系統(tǒng)事件，正常情況會(huì)周期性出現(xiàn)。如果看到不熟悉的用戶名，尤其是系統(tǒng)賬戶被使用，要警惕。
• 來(lái)源IP：遠(yuǎn)程登錄（pts/）通常會(huì)顯示IP。如果發(fā)現(xiàn)來(lái)自國(guó)外或非辦公區(qū)域的IP頻繁連接，可能是暴力破解或未授權(quán)訪問(wèn)。
• 登錄時(shí)間：非工作時(shí)間大量登錄，特別是深夜或凌晨，可能意味著自動(dòng)化腳本或異常行為。
• 登錄頻率：短時(shí)間內(nèi)同一IP大量登錄嘗試（即使

  last

  登錄后復(fù)制
  主要記錄成功登錄，結(jié)合

  /var/log/auth.log

  登錄后復(fù)制
  更好），可能是在撞庫(kù)。

比如，你發(fā)現(xiàn)用戶

admin

192.168.100.50

192.168.1.0/24

結(jié)合其他日志進(jìn)行交叉驗(yàn)證

last

• 失敗登錄嘗試：查看

  /var/log/auth.log

  登錄后復(fù)制
  或

  /var/log/secure

  登錄后復(fù)制
  （取決于發(fā)行版），搜索

  Failed password

  登錄后復(fù)制
  關(guān)鍵詞，能發(fā)現(xiàn)暴力破解痕跡。
• 更詳細(xì)的審計(jì)信息：對(duì)于更高要求的審計(jì)，可以啟用

  auditd

  登錄后復(fù)制
  服務(wù)，它能記錄更細(xì)粒度的操作，比如具體執(zhí)行了哪些命令。

一個(gè)實(shí)用技巧是，用

last | grep 用戶名

last | grep john

這能幫你快速評(píng)估某個(gè)用戶的活動(dòng)模式。

基本上就這些，

last

以上就是如何查看用戶登錄 last命令審計(jì)分析的詳細(xì)內(nèi)容，更多請(qǐng)關(guān)注php中文網(wǎng)其它相關(guān)文章！