Ubuntu last命令详解（查看用户登录历史的实用指南）

什么是 last 命令？

last 是 Linux 系统中一个非常实用的命令行工具，它会读取 /var/log/wtmp 文件（该文件记录了所有用户的登录、登出及系统重启等事件），并以人类可读的方式展示出来。

基本用法：查看完整的登录历史

打开终端（Terminal），输入以下命令：

last  

执行后，你会看到类似如下的输出：

alice    pts/0        192.168.1.100   Mon Jun 10 09:30 - 17:45  (08:15)bob      tty1                          Mon Jun 10 08:15 - down   (09:30)reboot   system boot  5.15.0-76-generic Mon Jun 10 08:10 - 17:45  (09:35)  

每一行包含以下信息：

• 用户名：如 alice、bob，或特殊条目如 reboot（表示系统重启）。
• 终端类型：如 pts/0（远程 SSH 登录）、tty1（本地物理终端）。
• 来源 IP 或主机名：远程登录时显示 IP 地址，本地登录则为空。
• 登录时间与登出时间：包括持续时长。

常用选项与技巧

1. 只查看特定用户的登录记录

例如，只查看用户 alice 的登录历史：

last alice  

2. 限制显示的行数

只显示最近 5 条记录：

last -n 5  

3. 查看关机或重启记录

系统重启会被记录为 reboot 用户：

last reboot  

4. 查看失败的登录尝试（需配合其他日志）

注意：last 命令不显示失败的登录尝试。失败记录通常保存在 /var/log/btmp 中，可使用 lastb 命令查看（需要 root 权限）：

sudo lastb  

安全提示：保护登录日志

由于 /var/log/wtmp 和 /var/log/btmp 包含敏感信息，建议：

• 定期备份这些日志文件。
• 限制非管理员用户对日志文件的访问权限。
• 结合 fail2ban 等工具自动封禁恶意 IP，提升 Linux系统安全。

总结

通过 last 命令，你可以轻松查看用户登录历史，快速掌握系统访问情况。无论是日常运维还是安全审计，这个命令都是不可或缺的工具。掌握它，你就迈出了保障 Ubuntu 系统安全的重要一步！

记住，良好的日志管理习惯是构建安全系统的基石。希望这篇教程能帮助你更好地理解和使用 last 命令！

关键词：Ubuntu last命令, 查看用户登录历史, Linux系统安全, 用户登录记录