Если вы управляете многопользовательской системой, вам часто нужно знать, кто, когда и откуда вошел в систему.
last, это утилита командной строки, которая отображает информацию о последних сеансах входа пользователей системы. Это очень полезно, когда вам нужно отслеживать активность пользователя или расследовать возможное нарушение безопасности.
В этой статье объясняется, как проверять, кто вошел в систему с помощью команды last.
Синтаксис команды last следующий:
last [OPTIONS] [USER] [<TTY>...]
Каждый раз, когда пользователь входит в систему, запись для этого сеанса записывается в файл /var/log/wtmp. Команда last читает файл wtmp и печатает информацию о входах и выходах пользователей. Записи печатаются в обратном порядке времени, начиная с самых последних.
Когда вызывается last без какой-либо опции или аргумента, вывод выглядит примерно так:
andreyex pts/0 123.123.0.2 Fri Feb 29 34:22 still logged in andreyex pts/0 123.123.0.2 Tue Feb 28 13:42 - 00:05 (01:31) lisa :0 :0 Thu Feb 25 11:19 gone - no logout reboot system boot 4.15.0-74-g Fri Jan 29 21:03 - 08:03 (00:00) ...
Каждая строка вывода содержит следующие столбцы слева направо:
Чтобы ограничить вывод определенным пользователем или tty, передайте имя пользователя или tty в качестве аргумента команды last:
last andreyex last pts/0
Вы также можете указать несколько имен пользователей и ttys в качестве аргументов:
last andreyex root pts/0
last принимает несколько параметров, которые позволяют ограничивать, форматировать и фильтровать вывод. В этом разделе мы рассмотрим наиболее распространенные из них.
Чтобы указать количество строк, которые вы хотите напечатать в командной строке, передайте число, которому предшествует один дефис last. Например, чтобы распечатать только последние десять сеансов входа в систему, введите:
last -10
С помощью опции -p( —present) вы можете узнать, кто вошел в систему в определенный день.
last -p 2020-03-10
Используйте опции -s( —since) и -t( —until), чтобы указать last отображение строк с или до указанного времени. Эти две опции часто используются вместе, чтобы определить интервал времени, для которого вы хотите получить информацию. Например, для отображения записей входа в систему с 13 по 18 февраля вы должны выполнить:
last -s 2020-03-01 -u 2020-03-01
Время, передаваемое параметрам -p, -s и -t может быть указано в следующих форматах:
YYYYMMDDhhmmss YYYY-MM-DD hh:mm:ss YYYY-MM-DD hh:mm (seconds will be set to 00) YYYY-MM-DD (time will be set to 00:00:00) hh:mm:ss (date will be set to today) hh:mm (date will be set to today, seconds to 00) now yesterday (time is set to 00:00:00) today (time is set to 00:00:00) tomorrow (time is set to 00:00:00) +5min -5days
По умолчанию last не показывает секунды и год. Используйте -F, —fulltimes возможность просмотра полного входа и выхода времени и даты:
last -F
Опция -i( —ip) заставляет last всегда показывать IP-адрес, а -d( —dns) показывать имена хостов:
last -i
Команда last выводит информацию о времени входа и выхода пользователя из системы. Для получения дополнительной информации о команде введите man last в свой терминал.
Если у вас есть какие-либо вопросы, пожалуйста, оставьте комментарий ниже.