显示最近注册的用户列表
last [-adFioRwx] [-num|-n num ] [-f file] [-t YYYYMMDDHHMMSS] [names] [ttys]
lastb [-adFioRwx] [-num|-n num] [-f file] [names] [ttys]
last命令检索/var/log/wtmp文件,或“-f”选项指定的文件,显示自文件创建迄今记录的所有用户注册与注销记录。其中,names是一个或一组用户名,多个用户名之间需加空格分隔,表示仅检索指定用户的相关记录。ttys是一个或一组终端设备名或远程系统的主机名及IP地址。终端设备名是省略目录部分“/dev/”的缩写,甚至还可以进一步缩写,如使用0表示tty0。
当last捕捉到SIGINT信号(^C组合键生成的信号)或SIGQUIT信号(^\组合键生成的信号)时,last将会显示迄今为止检索的结果。在捕捉到SIGINT信号的情况下,last将立即中止执行。
每次启动或重新引导系统时,将会写入一个伪用户reboot的记录。因此,“last reboot”命令将会显示自文件创建迄今记录的所有系统启动或重新引导时间。
lastb类似于last命令,但其检索和显示的是/var/log/btmp文件中记录的内容。除了注册与注销信息之外,其中还包含所有注册失败的记录。
注意,仅当wtmp与btmp文件存在时,系统才会把日志信息写入相应的文件。如果文件不存在或因故误删,可利用touch等命令补救。
-a 在最后一列中显示主机名。可与“-d”选项配合使用。
-d 对于非本地的远程注册用户,Linux系统不仅存储远程系统的主机名,而且也存储其IP地址。使用这个选项可以把IP地址转换成主机名。
-f file 读取指定的文件(默认的文件为/var/log/wtmp)。
-F 显示完整的注册、注销日期与时间。
-i 类似于“-d”选项,但仅显示远程主机的IP地址。
-n num, -num 指定显示多少条记录。
-R 禁止显示主机名一列。
-o 用于读取早期利用linux-libc5创建的wtmp文件。
-t YYYYMMDDHHMMSS 显示指定时间的用户注册状态。主要用于确定某一特定时刻系统存在哪些注册的用户(可观察其中含有“still logged in”字样的记录)。
-w 显示远程主机的规范域名,即显示user@domain形式的用户名及其所在域的名字。
-x 显示系统关机与运行级变动的记录。
1. 显示自/var/log/wtmp文件创建迄今记录的用户注册与注销记录。
$ last gqxing pts/1 winxp Tue Oct 2 20:37 still logged in gqxing pts/0 :0.0 Tue Oct 2 20:01 still logged in gqxing tty1 :0 Tue Oct 2 20:01 still logged in reboot system boot 2.6.32-71.el6.i6 Tue Oct 2 19:59 - 20:37 (00:38)
2. 查询指定文件记录的早期用户注册与注销记录。
$ last -f /var/log/wtmp-20120317 gqxing pts/2 :0.0 Sat Mar 17 05:42 gone - no logout gqxing pts/1 :0.0 Sat Mar 17 05:35 gone - no logout gqxing pts/0 winxp Sat Mar 17 05:35 gone - no logout gqxing tty1 :0 Sat Mar 17 05:26 gone - no logout reboot system boot 2.6.32-71.el6.i6 Sat Mar 17 05:24 - 20:46 (199+15:21)
索引:A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z