查詢登陸成功的用戶:
last
單獨執行last指令時,它會讀取位于/var/log/wtmp的檔案,并把該給檔案的內容記錄的登錄系統的用戶名單全部顯示出來,
如果使用tail、cat命令查看這檔案,格式對人類不太友好,還是使用命令比較好,
查詢失敗的用戶:
lastb
單獨執行lastb指令,它會讀取位于/var/log/btmp的檔案,并把該檔案內容記錄的登入系統失敗的用戶名單,全部顯示出來,
列詳解
-
用戶名
顯示成reboot表示:當執行過啟動或者重啟操作在這里會記錄成reboot -
終端位置(有多種形式)
- pts/0 (偽終端或虛擬終端) 意味著從諸如SSH或telnet的遠程連接的用戶
yunwei pts/0 10.x.x.x Thu Aug 6 14:47 - 15:10 (00:23) yunwei pts/1 10.x.x.x Thu Aug 6 14:13 - 14:55 (00:41)- tty (teletypewriter) 意味著直接連接到計算機或者本地連接的用戶
- system boot —— 執行啟動或者重啟操作
reboot system boot 3.10.0-693.el7.x Mon Dec 9 14:18 - 11:25 (241+21:06)1) -
登陸者的IP or 內核版本
- 登錄ip
- 內核版本版本(猜測顯示這些記錄應該是屬于系統的操作,如開機,關機,重啟等操作)
- 如果你看見:0.0 或者 什么都沒有,這意味著用戶通過本地終端連接,
-
開始時間,其中的日期格式為date +"%a %b %d"
-
結束時間,或者 still login in(表示還未退出登陸)
-
登陸持續了多長時間,如果是 still logged in 就會省略持續時間
查前10行和后10行的技巧
這個方法也適合和其它命令配合使用
lastb | head -10
lastb | tail -n 10
參考
https://www.cnblogs.com/felixzh/p/8671205.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/71748.html
標籤:其他
下一篇:資訊收集小技巧