要看現在系統上有哪些人登入可以下面兩個指令
- w
- who | sort
要看過往有哪些人登入可以用下面的指令
- last:依據登入時間排序,看的資料是/var/log/wtmp
- last -i | sort -k 3:依據登入的IP做排序
- last -f /var/log/wtmp-xxxxxx:看/var/log/wtmp-xxxxxx的資料
- last USERNAME:看某個使用者的登入時間資料
看所有使用者最後的登入時間
- lastlog:顯示所有可登入的帳號
- lastlog | grep -v "Never logged in" | sort:依照使用者帳號名稱排序
- lastlog | grep -v "Never logged in" | tail -n +2 | sort -k 9:
依據使用者登入年份排序 - lastlog -t 10:10天內登入的人有哪些
- lastlog -b 10 | grep -v "Never logged in":10天以前登入的人有哪些
- last -i USERNAME | head -n -2 | tr -s ' ' | cut -d' ' -f3 | sort | uniq -c | sort -n:顯示使用者USERNAME從某個IP的登入次數
參考資料
- 一些常見指令: last, lastlog, dmesg
- 查詢使用者: w, who, last, lastlog
- 根據空格切出欄位:搭配sort的時候要把多空格弄成一空格
- 用root做su - user的手法,lastlog會顯示**Never logged in**
_EOF_
沒有留言:
張貼留言