如何查看用户登录 last命令审计分析

last命令是查看linux用户登录登出记录的直接工具，它读取/var/log/wtmp文件展示登录历史；1. 执行last可查看用户名、终端、ip、登录登出时间及在线时长；2. 使用last -n 10可限制输出最近10条记录；3. 分析时关注不熟悉用户名、异常ip来源、非工作时间登录和高频登录行为；4. 结合/var/log/auth.log检查失败登录尝试，排查暴力破解；5. 可用last | grep 用户名筛选特定用户的登录记录；6. 对高安全需求，启用auditd获取更细粒度审计信息；通过last命令与日志交叉验证，能有效识别异常登录行为并提升系统安全可见性。

想查Linux系统里用户的登录登出记录，

last

命令是最直接的工具。它能帮你快速看到谁在什么时候从哪里登录过，是日常运维和安全检查的常用手段。

用last命令查看登录历史

last

命令读取的是系统文件

/var/log/wtmp

，这个文件记录了所有用户的登录、注销以及系统重启、关机等事件。直接在终端输入

last

，就能列出最近的登录记录：

last

输出结果通常包括用户名、终端类型（tty或pts）、IP地址（远程登录时）、登录时间、登出时间以及在线时长。比如看到某用户从陌生IP频繁登录，就值得进一步排查。

如果只想看最近几条记录，可以用

-n

参数指定数量：

last -n 10

这能快速查看最近10次的登录情况，避免输出太多信息干扰判断。

分析关键字段识别异常行为

看

last

的输出不能只看热闹，关键是要会识别异常：

巧文书

巧文书是一款AI写标书、AI写方案的产品。通过自研的先进AI大模型，精准解析招标文件，智能生成投标内容。

281 查看详情

• 用户名：注意

  reboot

  和

  shutdown

  这类系统事件，正常情况会周期性出现。如果看到不熟悉的用户名，尤其是系统账户被使用，要警惕。
• 来源IP：远程登录（pts/）通常会显示IP。如果发现来自国外或非办公区域的IP频繁连接，可能是暴力破解或未授权访问。
• 登录时间：非工作时间大量登录，特别是深夜或凌晨，可能意味着自动化脚本或异常行为。
• 登录频率：短时间内同一IP大量登录尝试（即使

  last

  主要记录成功登录，结合

  /var/log/auth.log

  更好），可能是在撞库。

比如，你发现用户

admin

在凌晨3点从IP

192.168.100.50

登录，而你的办公网络是

192.168.1.0/24

，这就明显不对劲。

结合其他日志进行交叉验证

last

虽然方便，但它主要展示成功登录。要全面审计，还得结合其他日志：

• 失败登录尝试：查看

  /var/log/auth.log

  或

  /var/log/secure

  （取决于发行版），搜索

  Failed password

  关键词，能发现暴力破解痕迹。
• 更详细的审计信息：对于更高要求的审计，可以启用

  auditd

  服务，它能记录更细粒度的操作，比如具体执行了哪些命令。

一个实用技巧是，用

last | grep 用户名

快速筛选特定用户的登录历史，比如：

last | grep john

这能帮你快速评估某个用户的活动模式。

基本上就这些，

last

命令简单但很实用，配合其他日志一起看，能有效提升系统的安全可见性。

以上就是如何查看用户登录 last命令审计分析的详细内容，更多请关注其它相关文章！