last最接近完整登录流水账,但仅记录成功登录且循环覆盖;lastlog存各用户最后一次登录时间,需root权限;lastb专记失败尝试,依赖btmp启用。
直接看 last,它是最接近“完整登录流水账”的命令;但别指望它能查到失败尝试、也不代表所有登录都留痕——得结合 lastlog 和 lastb 才算闭环。
查最近成功登录:用 last 但注意 wtmp 覆盖机制
默认执行 last 就读 /var/log/wtmp,按时间倒序列出所有成功登录/登出记录。但它不是“永久日志”,而是循环覆盖式存储:
- 旧记录会被新登录挤掉,尤其在高并发或长期运行的系统上,
last可能只显示最近几天甚至几小时的记录 - 确认是否还有内容:
ls -lh /var/log/wtmp,大小为 0 表示没启用或已损坏 - 加
-n 10限制行数,避免卡住;加-R屏蔽主机名,让 IP 更清晰;加-a把 IP 拖到末列,方便 awk 提取 - 容器或嵌入式 Linux 常默认禁用 wtmp,此时
last输出为空,不是你漏操作,是压根没记
查某用户最后一次登录时间:用 lastlog 但必须 root 权限
lastlog 读的是 /var/log/lastlog,每个 UID 占固定字节,只存「最后一次」,不按时间排序,也不记录登出:
- 普通用户运行会报
Permission denied,必须用sudo lastlog或切 root -
lastlog -u username查指定用户;lastlog -t 7查最近 7 天内有登录行为的用户(注意:不是“某用户最近 7 天的登录”,而是“哪些人在 7 天内登过”) - 输出里显示
**Never logged in**就是真的没登过,last不会出现这行,所以两者互补 - 该文件不记录失败尝试、不记录登出、不记录终端类型变化(比如从 tty1 切到 pts/0),纯看“有没有来过”
查失败登录尝试:用 lastb 但需确认 btmp 是否启用
lastb 对应的是 /var/log/btmp,专存认证失败记录(如密码错、账号不存在),但这个文件默认可能为空或未启用:
天工SkyMusic
基于昆仑万维“天工3.0”打造的AI音乐生成工具,是目前国内唯一公开可用的AI音乐生成大模型
下载
- 先检查权限和存在性:
ls -l /var/log/btmp,正常应为-rw------- 1 root root,大小非零 - 若提示
No such file or directory,说明系统没开启失败记录,需检查 PAM 配置(通常是/etc/pam.d/common-auth或system-auth中是否有pam_faillock.so或pam_tally2.so) -
lastb -n 20看最近 20 条失败记录;IP 显示不全时加-R;注意它不区分 root 登录失败还是普通用户,得靠用户名字段过滤 - 该文件容易被暴力破解刷爆,某些运维策略会定期清空(
echo > /var/log/btmp),所以不能默认它“一直可用”
查当前谁在线:用 who 和 w 但注意 utmp 实时性
who 和 w 都读 /var/run/utmp,反映的是此刻活跃会话,不是历史记录:
-
who输出简洁,含用户名、终端、登录 IP(括号内)、时间;w多一列当前运行的命令,适合快速判断用户在干啥 -
who /var/log/wtmp是个常见误区——它其实也能读历史,但输出格式和last不同,且不带登出时间和持续时长,实用性低 - 如果用户用
screen或tmux后 detach,who仍显示在线,但last的“still logged in”可能已消失,因为会话状态不完全同步 - SSH 连接断开但进程未退出(比如网络闪断),
who可能还挂着,但实际已不可交互,需结合ps或lsof -i :22辅助判断
真正难的不是命令怎么敲,而是理解三个二进制日志文件(utmp、wtmp、btmp)各自职责和生命周期——它们不互通、不自动归档、不强制持久,查不到记录时,八成是文件本身没内容,而不是你参数写错了。