如何在 Linux 中使用最后一条命令-生活哲学-帝王之家

生活哲学

如何在 Linux 中使用最后一条命令

小嫂 2022-01-16

0 2250 0

想知道谁、什么时间和哪个设备访问您的 Linux 计算机？请阅读以下文章。

每个人都需要知道的基本 Linux 命令
如何在 Linux 中截取登录屏幕的屏幕截图
如何使用 Windows 计算机远程控制 Linux

Wtmp 文件

Linux和MacOS等其他类Unix操作系统在登录方面管理得很好。在系统上，您可以在计算机上找到与登录、注销相关的所有内容的日志。此日志文件称为 wtmp。 W 代表何时（何时）或谁（谁）。 tmp部分可以是临时的缩写，也可以是时间戳（timestamp）的缩写。

我们只需要知道wtmp是一个日志，记录了电脑上所有的登录和注销事件。查看 wtmp 日志中的数据是安全性的基本步骤。对于一台普通的家用电脑来说，安全性并不是一个重要的问题，但回顾一下你的电脑使用情况也很有趣。

与 Linux 中其他基于文本的日志文件不同，wtmp 是一个二进制文件。要访问此文件中的数据，您需要使用最后一条命令。

Unix/Linux 中的基本文件系统

最后的订单

最后一条命令从wtmp记录中读取数据并显示在终端窗口中。如果最后输入并按 Enter ，它将显示日志文件中的所有记录。

 最后

Linux如何使用最后一条命令的图1

来自 wtmp 的每条记录都显示在终端窗口中。

从左到右，每一行包含：

登录用户名。
他们登录的设备。设备项：0 表示在 Linux 计算机上登录。
登录机器的IP地址。
登录时间和日期戳。
会议时间

最后一行告诉我们日志中最早记录会话的日期和时间。

每次启动计算机时都会将虚拟用户“reboots”的登录信息输入到日志中。设备字段替换为内核版本。这些项目的登录会话持续时间代表计算机的正常运行时间。

显示一些特定的行

只使用最后一条命令会显示以上所有信息。如果您需要特定信息，您可以要求 last 提供输出的特定行号。例如，如果要查看 5 行，则需要在最后一个命令中键入 -5。

 最后-5

上面的命令会显示日志的前五行，这是最近的数据。

Linux如何使用最后一条命令的图4

为远程用户显示网络名称

-d（域名系统）选项要求最后将远程用户的 IP 地址解析为主机名或网络名。

 最后-d

Linux如何使用最后一条命令的图5

但是，将 IP 地址转换为网络名称并不总是可行的，但该命令会在可能的情况下执行。

Linux如何使用最后一条命令的图6

隐藏 IP 地址和网络名称

如果您对 IP 地址或网络名称不感兴趣，请使用 -R 选项（不带服务器名称）来屏蔽此字段。

Linux如何使用最后一条命令的图7

这个选项会给你一个更整洁的输出，所以它会用在下面的例子中。如果使用last来判断异常活动，你不应该屏蔽这个字段。

Linux如何使用最后一条命令的图8

按日期选择记录

您可以使用 -s 选项（since）将输出限制为仅显示自特定日期以来发生的日志事件。

如果您只想查看 26/5/2019 之后发生的登录事件，您将使用以下命令：

Linux如何使用最后一条命令的图9

显示带有日志事件的日志的输出发生在指定日期的 00:00 到日志文件中的最新记录。

Linux如何使用最后一条命令的图10

在特定时间段内搜索

您可以使用 -t（直到）来指定结束日期。这允许您选择在特定时间发生的日志文件集。

Linux如何使用最后一条命令的图11

此命令需要 last 检索并显示从第 26 天 00:00（黎明）到第 27 天 00:00（黎明）的日志日志。它限制登录会话仅在 26 日进行

Linux如何使用最后一条命令的图12

格式化时间和日期

您可以通过 -s 和 -t 选项使用时间和日期。 可以使用不同的时间格式last 日期和时间选项：

YYYYMMDDhhmmss
YYYY-MM-DD hh: mm: ss
YYYY-MM-DD hh: mm-秒设置为 00
YYYY-MM-DD-时间设置为 00:00:00
hh: mm: ss-日期设置为今天
hh: mm-日期设置为今天，秒设置为 00
现在
昨天-时间设置为 00:00:00
今天-时间设置为 00:00:00
明天-时间设置为 00:00:00
+ 5 分钟
-5 天

这些命令在 Ubuntu、Fedora 和 Manjaro 发行版上进行了测试。它们分别是 Debian、RedHat 和 Arch 发行版的衍生产品。

 最后-R-s 2019-05-26 11:00-t 2019-05-27 13:00

Linux如何使用最后一条命令的图13

如你所见，上面的命令没有返回任何记录。使用列表中的第一个日期和时间格式，因为前面的命令返回记录：

 last-R-s 20190526110000-t 20190527130000

Linux如何使用最后一条命令的图14

以相对单位搜索

您还可以指定相对于当前日期和时间的时间间隔（以分钟或天为单位）。以下命令我们需要从前 2 天到前一天的记录。

 最后-R-s-2days-t-1days

Linux如何使用最后一条命令的图15

昨天、今天和现在

您可以使用昨天和明天来缩写昨天的日期和今天的日期。

 最后-R-s 昨天-t 今天

Linux如何使用最后一条命令的图16

订单需要从开始日期到结束日期的记录。它不包括结束日期的记录。

Linux如何使用最后一条命令的图17

Now 选项是“今天在当前时间”的缩写。要查看从 00:00（黎明）到您使用此命令的时间发生的登录事件：

 最后-R-s 今天-t 现在

Linux如何使用最后一条命令的图18

上述命令将显示所有当前登录事件，包括那些仍然登录的事件。

Linux如何使用最后一条命令的图19

-P 选项

-p（当前）选项可让您找出在特定时间点登录的用户。如果有人在您指定的时间登录计算机，则会列出他们。

如果你指定了一个没有日期的时间，最后一个命令将默认为你今天（即使用该命令的日期）。

 最后-R-p 9:30

Linux如何使用最后一条命令的图20

人们在没有注销时间的情况下仍然登录；他们被描述为仍然登录。如果计算机在您指定的时间后没有重新启动，它将被列为still running。

Linux如何使用最后一条命令的图21

如果您使用 now 和 -p 选项，您可以在使用命令。

 最后-R-p 现在

Linux如何使用最后一条命令的图22

这在使用 who 命令时会稍微长一些。

Linux如何使用最后一条命令的图23

Lastb 命令

lastb 命令从名为 btmp 的记录中读取数据。 lastb 列出失败的登录时间。您也可以在此命令中使用 last 的选项。由于登录失败，时间为00:00。

你必须使用 sudo 和 lastb 。

Linux如何使用最后一条命令的图24

了解谁登录了您的 Linux 计算机非常有用，合并有关未成功登录的信息将帮助您迈出调查计算机入侵的第一步。怀疑。