Linux--常用命令--last

linux last 命令介绍

　　功能说明：列出目前与过去登入系统的用户相关信息。

　　语　　法：last [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

　　补充说明：单独执行last指令，它会读取位于/var/log目录下，名称为wtmp的文件，并把该给文件的内容记录的登入系统的用户名单全部显示出来。

　　参　　数：

　　-a 　把从何处登入系统的主机名称或IP地址，显示在最后一行。

　　-d 　将IP地址转换成主机名称。

　　-f <记录文件> 　指定记录文件。

　　-n <显示列数>或-<显示列数> 　设置列出名单的显示列数。

　　-R 　不显示登入系统的主机名称或IP地址。

　　-x 　显示系统关机，重新开机，以及执行等级的改变等信息。

last 命令：

功能说明：列出目前与过去登入系统的用户相关信息。

＝＝＝＝＝＝＝＝测试环境： Fedora Core 6.0；内核：2.6.18＝＝＝＝＝＝＝＝

#last用了显示用户登录情况。以下是直接显示固定行数的记录。kkk是新建的用户。

[kkk@localhost ~]$ last -6

kkk pts/2 :0.0 Thu Jul 26 20:48 still logged in

kkk pts/2 :0.0 Thu Jul 26 20:21 - 20:21 (00:00)

kkk :0 Thu Jul 26 20:21 still logged in

reboot system boot 2.6.18-1.2798.fc Thu Jul 26 20:20 (00:41)

kkk pts/2 :0.0 Thu Jul 26 11:16 - 11:46 (00:30)

kkk pts/2 :0.0 Thu Jul 26 10:18 - 10:18 (00:00)

wtmp begins Sun Jul 1 15:17:08 2007

#默认是显示wtmp的记录，btmp能显示的更详细，可以显示远程登录，例如ssh登录。

[root@localhost ~]# last -n 15 -f /var/log/btmp

kkk :0 Thu Jul 26 20:21 still logged in

klot tty1 Fri Jul 20 22:27 gone - no logout

np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

root :0 Fri Jul 20 22:22 - 20:21 (5+21:58)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

root tty1 Fri Jul 20 20:58 - 22:26 (01:28)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)

root tty1 Fri Jul 20 20:54 - 20:55 (00:00)

root tty1 Fri Jul 20 20:54 - 20:54 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示特定tty口的登录，1是tty1的登录情况，看的很清楚的。 np962e76 和 lkdjflkj 和klot其实都没有登

#录成功，我是把密码忘记了。前面两个用户，是根本不存在的，但是也有记录。

[root@localhost ~]# last -n 15 -f /var/log/btmp 1

klot tty1 Fri Jul 20 22:27 gone - no logout

np962e76 tty1 Fri Jul 20 22:26 - 22:27 (00:00)

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

root tty1 Fri Jul 20 20:58 - 22:26 (01:28)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

reboot tty1 Fri Jul 20 20:55 - 20:57 (00:02)

root tty1 Fri Jul 20 20:54 - 20:55 (00:00)

root tty1 Fri Jul 20 20:54 - 20:54 (00:00)

lkdjflkj tty1 Fri Jul 20 20:54 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示特定用户的登录情况。

[root@localhost ~]# last -n 15 -f /var/log/btmp klot

klot tty1 Fri Jul 20 22:27 gone - no logout

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#显示登录登出的记录，-x。

[root@localhost ~]# last -n 15 -f /var/log/btmp klot -x

klot tty1 Fri Jul 20 22:27 gone - no logout

klot tty1 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 Fri Jul 20 20:52 - 20:52 (00:00)

btmp begins Mon Apr 30 22:05:54 2007

#-i显示特定ip登录的情况。跟踪用。

[root@localhost ~]# last -n 15 -i 127.0.0.1 -f /var/log/btmp klot

klot tty1 0.0.0.0 Fri Jul 20 22:27 gone - no logout

klot tty1 0.0.0.0 Fri Jul 20 22:26 - 22:26 (00:00)

klot :0 0.0.0.0 Fri Jul 20 22:22 - 22:22 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:58 - 20:58 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:58 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:57 - 20:57 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:54 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:53 - 20:53 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:53 (00:00)

klot tty1 0.0.0.0 Fri Jul 20 20:52 - 20:52 (00:00)

1、清除登陆系统成功的记录，也就是last命令看到的记录

[root@linuxzgf ~]echo > /var/log/wtmp 此文件默认打开时乱码的，里面可以看到ip等等信息

验证过程

[root@linuxzgf ~]#last

root pts/0 10.5.10.51 Thu Sep 2 00:59 still logged in

root pts/2 10.5.10.60 Wed Sep 1 16:11 - 17:47 (01:35)

root pts/2 10.5.10.60 Wed Sep 1 16:08 - 16:10 (00:02)

root pts/0 10.5.10.61 Wed Sep 1 14:16 - 23:02 (08:46)

root pts/3 10.5.10.59 Wed Sep 1 11:28 - 19:38 (08:10)

root pts/2 10.5.10.60 Wed Sep 1 11:18 - 16:07 (04:49)

root pts/1 10.5.10.191 Wed Sep 1 11:17 - 19:12 (07:55)

。。。。。。。。。。。。。。。。。。。。。。。

[root@linuxzgf ~]#echo >/var/log/wtmp

[root@linuxzgf ~]#last

wtmp begins Thu Sep 2 01:04:34 2010

[root@linuxzgf ~]#

此时即看不到用户登录信息

2、清除登陆系统失败的记录，也就是lastb命令看到的记录

[root@linuxzgf ~]echo > /var/log/btmp 此文件默认打开时乱码的

验证方法

在执行命令前执行lastb如下

[root@linuxzgf ~]#lastb

root ssh:notty 10.5.10.60 Wed Sep 1 16:11 - 16:11 (00:00)

tty6 Mon Aug 30 22:53 - 22:53 (00:00)

tty6 Mon Aug 30 18:52 - 18:52 (00:00)

++++++ tty6 Mon Aug 30 18:52 - 18:52 (00:00)

linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 11:21 - 11:21 (00:00)

linuxzgf ssh:notty 10.5.10.60 Mon Aug 30 09:37 - 09:37 (00:00)

。。。。。。。。。

然后执行

[root@linuxzgf ~]#echo > /var/log/btmp

[root@linuxzgf ~]#lastb

btmp begins Thu Sep 2 01:01:06 2010

3、清除历史执行命令

[root@linuxzgf ~]history -c

更多相关文章

随机推荐