使用命令
last或cat /var/log/wtmp查看Linux服务器登录日志,或者使用工具如Audit等进行审计。
在Linux服务器上查看登录日志,可以使用以下方法:
1、使用last命令查看登录日志
last命令可以显示系统中所有用户的最后登录记录,默认情况下,它显示过去10次登录记录,要查看更详细的登录记录,可以使用n参数指定显示的记录数,使用f参数指定显示的记录范围。
last n 50
2、使用wtmp文件查看登录日志
/var/log/wtmp文件存储了所有用户的登录和退出记录,可以使用lastcomm命令结合awk命令分析这个文件,以获取特定用户的登录信息。
要查看用户root的登录记录,可以使用以下命令:
awk F '[ ]' '/root/ {print $1,$2,$3,$4}' /var/log/wtmp | head n 50
3、使用who命令查看当前在线用户
who命令可以显示当前在线的用户信息,默认情况下,它显示用户名、终端类型和登录时间,要查看更详细的信息,可以使用H参数显示主机名,使用u参数显示用户IP地址。
who u H
4、使用系统日志查看登录日志
Linux系统中还有其他日志文件可以用于查看登录日志,例如/var/log/auth.log(用于记录PAM认证相关的日志)和/var/log/secure(用于记录安全相关的日志),这些文件通常需要管理员权限才能查看。
要查看/var/log/auth.log文件中与PAM认证相关的登录日志,可以使用以下命令:
sudo cat /var/log/auth.log | grep pam_unix
在Linux服务器上查看登录日志,可以使用last、wtmp、who等命令,还可以查看系统日志文件,具体选择哪种方法取决于你的需求和对Linux系统的熟悉程度。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/512692.html
微信扫一扫 