如何在Linux中查看用户登录历史？

使用last、lastlog和faillog命令及/var/log/wtmp、/var/log/lastlog、/var/log/auth.log等日志文件可全面查看Linux用户登录历史，包括成功与失败的登录记录、登录时间、来源IP及系统重启信息。

在Linux中查看用户登录历史，主要依赖系统记录的日志文件和相关命令工具。通过这些信息可以了解谁在什么时候从哪里登录过系统，对系统安全审计很有帮助。

使用 last 命令查看登录记录

last 是最常用的查看用户登录历史的命令，它读取 /var/log/wtmp 文件，显示用户最近的登录和登出记录。

• 直接运行 last 显示所有用户的登录历史
• 查看特定用户的登录记录：例如 last username
• 输出包含登录用户名、终端、来源IP、登录时间、登出时间和持续时长
• 可以看到 reboot 记录，表示系统重启时间

使用 lastlog 查看用户最后一次登录

lastlog 命令读取 /var/log/lastlog 文件，显示每个用户最后一次成功登录的时间和位置。

UP简历

基于AI技术的免费在线简历制作工具

128

查看详情

• 运行 lastlog 显示所有用户最后一次登录信息
• 查看特定用户：lastlog -u username
• 长时间未登录的账户会显示“**Never logged in**”

检查失败登录尝试（使用 faillog）

faillog 用于查看登录失败的历史，有助于发现暴力破解行为。

• 执行 faillog 显示失败登录记录
• 查看某用户：faillog -u username
• 可重置失败计数：faillog -r
• 日志来自 /var/log/faillog

查看系统认证日志（/var/log/auth.log 或 /var/log/secure）

更详细的登录活动（包括SSH登录尝试）通常记录在认证日志中。

• Ubuntu/Debian 系统查看：tail /var/log/auth.log
• CentOS/RHEL 系统查看：tail /var/log/secure
• 可用 grep 过滤关键词，如 grep "Failed" /var/log/auth.log
• 可看到来源IP、认证方式、是否成功等详细信息

以上就是如何在Linux中查看用户登录历史？的详细内容，更多请关注php中文网其它相关文章！