Если вы управляете многопользовательской системой, вам часто нужно знать, кто, когда и откуда вошел в систему.
last — это утилита командной строки, которая отображает информацию о последних сеансах входа пользователей в систему. Она очень полезна, когда нужно отслеживать активность пользователей или расследовать возможные нарушения безопасности.
В этой статье объясняется, как проверить, кто вошел в систему, с помощью last команды.
Как использовать last команду
Синтаксис last команды следующий:
last [ OPTIONS ] [ USER ] [ ... ]
Каждый раз, когда пользователь входит в систему, запись об этом сеансе записывается в файл /var/log/wtmp . last считывает файл wtmp и выводит информацию о входах и выходах пользователей. Записи выводятся в обратном порядке, начиная с самых последних.
Если last вызывается без каких-либо опций или аргументов, вывод выглядит примерно так:
mark pts/0 10.10.0.7 Fri Feb 21 21:23 still logged in mark pts/0 10.10.0.7 Tue Feb 18 22:34 - 00:05 (01:31) lisa :0 :0 Thu Feb 13 09:19 gone - no logout reboot system boot 4.15.0-74-g Fri Jan 24 08:03 - 08:03 (00:00) ...
Каждая строка вывода содержит следующие столбцы слева направо:
- Имя пользователя. При перезагрузке или выключении системы
lastпоказываетrebootиshutdownспециального пользователя. - Терминал, на котором происходил сеанс.
:0обычно означает, что пользователь входил в среду рабочего стола. - IP-адрес или имя хоста, с которого пользователь вошел в систему.
- Время начала и окончания сеанса.
- Продолжительность сеанса. Если сеанс всё ещё активен или пользователь не вышел из системы, last покажет информацию об этом вместо продолжительности.
Чтобы ограничить вывод определенным пользователем или tty, передайте имя пользователя или tty в качестве аргумента last команде:
last marklast pts/0
Вы также можете указать несколько имен пользователей и tty в качестве аргументов:
last mark root pts/0
Параметры last команды
last принимает несколько параметров, позволяющих ограничивать, форматировать и фильтровать выводимые данные. В этом разделе мы рассмотрим наиболее распространённые из них.
Чтобы указать количество строк, которые нужно вывести в командной строке, передайте это число с одним дефисом в last . Например, чтобы вывести только последние десять сеансов входа в систему, введите:
last -10
С помощью параметра -p ( --present ) вы можете узнать, кто входил в систему в определенную дату.
last -p 2020-01-15
Используйте параметры -s ( --since ) и -t ( --until ), чтобы указать last отображать строки, начиная с указанного времени или до него. Эти два параметра часто используются вместе для определения временного интервала, за который требуется получить информацию. Например, чтобы отобразить записи входов в систему с 13 по 18 февраля, выполните:
last -s 2020-02-13 -u 2020-02-18
Время, передаваемое параметрам -p , -s и -t можно указать в следующих форматах:
YYYYMMDDhhmmss YYYY-MM-DD hh:mm:ss YYYY-MM-DD hh:mm (seconds will be set to 00) YYYY-MM-DD (time will be set to 00:00:00) hh:mm:ss (date will be set to today) hh:mm (date will be set to today, seconds to 00) now yesterday (time is set to 00:00:00) today (time is set to 00:00:00) tomorrow (time is set to 00:00:00) +5min -5days
По умолчанию last не отображает секунды и год. Используйте опцию -F и --fulltimes , чтобы просмотреть полное время и дату входа и выхода:
last -F
Параметр -i ( --ip ) заставляет last всегда показывать IP-адрес, а параметр -d ( --dns ) — показывать имена хостов:
last -i
Заключение
Команда last выводит информацию о времени входа и выхода пользователей из системы. Для получения дополнительной информации о команде введите man last в терминале.
Если у вас есть вопросы, пожалуйста, оставьте комментарий ниже.
Связанные руководства