Linux中last与lastb命令使用详解!

老男孩IT教育

常见问题

2025年11月24日 16:19

在Linux系统安全审计与运维排查中，last与lastb是查看用户登录记录的核心命令。前者记录成功登录的用户信息、登录时间与来源，后者专注于失败登录尝试，接下来通过这篇文章介绍一下Linux中last与lastb命令使用详解!

　　在Linux系统安全审计与运维排查中，last与lastb是查看用户登录记录的核心命令。前者记录成功登录的用户信息、登录时间与来源，后者专注于失败登录尝试，接下来通过这篇文章介绍一下Linux中last与lastb命令使用详解!

Linux培训学校

　　Linux中的last和lastb命令用于查看系统的登录记录，帮助系统管理员追踪用户登录行为和排查安全问题。这两个命令读取不同的日志文件，提供互补的信息。

　　last 命令：查看正常登录记录

　　last 命令用于显示用户最近的登录和登出记录，数据来源于/var/log/wtmp文件。

　　基本用法：

　　last：显示所有用户的登录历史，包括用户名、终端、IP地址、登录时间、登出时间和会话时长。

　　last username：仅显示指定用户的登录记录，例如last root可查看root用户的登录情况。

　　last -n 10 或 last | head -10：限制输出前10条记录。

　　last reboot：查看系统重启的历史时间点。

　　last shutdown：查看系统关机记录。

　　输出字段说明：

　　用户名：登录的账户名，如root、user1。

　　终端：登录所使用的终端或伪终端，如pts/0、tty1。

　　来源 IP 或主机名：远程登录的来源地址，本地登录显示为:0或localhost。

　　登录时间：会话开始的时间。

　　登出时间：会话结束时间，若仍在登录中则显示"still logged in"。

　　持续时间：本次会话的时长。

　　lastb 命令：查看失败登录尝试

　　lastb 命令用于显示失败的登录尝试，数据来源于 /var/log/btmp 文件，常用于发现暴力破解或异常登录行为。

　　基本用法：

　　lastb：列出所有失败的登录记录，包括用户名、终端、来源和时间。

　　lastb username：查看特定用户登录失败的情况，例如lastb root可检查针对root账户的爆破尝试。

　　lastb -n 10：只显示最近 10 条失败记录。

　　注意：/var/log/btmp文件默认存在但可能为空，只有发生登录失败时才会被写入。该文件不自动轮转，长期运行可能导致体积过大，建议定期清理或配置日志轮转。

　　老男孩教育是行业内较早开设Linux运维云计算课程培训的学校，在行业内深耕十多年，经过多年的技术沉淀，重磅打造Linux云计算SRE运维课程。该课程内容体系完善、实战项目丰富，贴合企业用人标准，学完即具备真实实战经验，更好的满足企业用人所需。

　　推荐阅读：

　　Linux中chown与chgrp命令详解!

本文经授权发布，不代表老男孩教育立场。如若转载请联系原作者。

扫码加入Python学院讨论学习群