企业官网建设流程全解析

在Linux里，想知道谁登录过系统、什么时候登录的，查看登录历史很有用。不管是管理员查异常，还是用户确认自己的登录情况，这都是基础操作。那么如何在Linux中查看用户登录历史?以下是具体的操作方法。

使用last命令查看登录记录

last是最常用的查看用户登录历史的命令，它读取/var/log/wtmp文件，显示用户最近的登录和登出记录。

直接运行last显示所有用户的登录历史

查看特定用户的登录记录：例如last username

输出包含登录用户名、终端、来源IP、登录时间、登出时间和持续时长

可以看到reboot记录，表示系统重启时间

使用lastlog查看用户最后一次登录

lastlog命令读取/var/log/lastlog文件，显示每个用户最后一次成功登录的时间和位置。

运行lastlog显示所有用户最后一次登录信息

查看特定用户：lastlog -u username

长时间未登录的账户会显示“**Never logged in**”

检查失败登录尝试(使用 faillog)

faillog用于查看登录失败的历史，有助于发现暴力破解行为。

执行faillog显示失败登录记录

查看某用户：faillog -u username

可重置失败计数：faillog -r

日志来自 /var/log/faillog

查看系统认证日志(/var/log/auth.log 或 /var/log/secure)

更详细的登录活动(包括SSH登录尝试)通常记录在认证日志中。

Ubuntu/Debian系统查看：tail /var/log/auth.log

CentOS/RHEL系统查看：tail /var/log/secure

可用grep过滤关键词，如 grep "Failed" /var/log/auth.log

可看到来源IP、认证方式、是否成功等详细信息