last命令 – 显示用户历史登录情况

last命令的功能是显示用户历史登录情况。通过查看系统记录的日志文件内容，可使管理员获知谁曾经或者试图连接过服务器。

通过读取系统登录历史日志文件（/var/log/wtmp）并按照用户名、登录终端、来源终端、时间等信息进行划分，可让用户对系统历史登录情况一目了然。

语法格式：last 参数 对象

常用参数：

-a	将来源终端信息项放到最后		-n	设置显示行数
-d	将IP地址解析成域名或主机名		-R	不显示主机名字段
-f	设置记录文件		-s	显示指定时间以后的行
-F	显示完整的登录时间和日期		-t	显示指定时间之前的行
-h	显示帮助信息		-x	显示系统开关机信息
-i	显示指定IP的登录情况		-V	显示版本信息

参考示例

显示近期用户或终端的历史登录情况：

[root@linuxcool ~]# last 
root    tty2         tty2             Mon Oct 17 03:13    gone - no logout 
reboot  system boot  4.18.0-80.el8.x8 Mon Oct 17 03:05   still running 
root    tty2         tty2             Mon Oct 17 03:00 - 03:05 (00:05) 
reboot  system boot  4.18.0-80.el8.x8 Mon Oct 17 02:59 - 03:05 (00:06) 

wtmp begins Mon Oct 17 02:59:19 2023

仅显示最近3条历史登录情况，并不显示来源终端信息：

[root@linuxcool ~]# last -n 3 -R 
root    tty2        Mon Oct 17 03:13 gone - no logout 
reboot  system boot Mon Oct 17 03:05 still running 
root    tty2        Mon Oct 17 03:00 - 03:05 (00:05) 

wtmp begins Mon Oct 17 02:59:19 2023

显示系统的开关机历史信息，并将来源终端放到最后：

[root@linuxcool ~]# last -x -a 
root     tty2 		 Mon Oct 17 03:13    gone - no logout tty2 
runlevel (to lvl 5)	 Mon Oct 17 03:06   still running 　　4.18.0-80.el8.x86_64
reboot   system boot Mon Oct 17 03:05   still running 　　4.18.0-80.el8.x86_64 
shutdown system down Mon Oct 17 03:05 - 03:05 (00:00) 　　4.18.0-80.el8.x86_64 
root     tty2 		 Mon Oct 17 03:00 - 03:05 (00:05) 　　tty2 
runlevel (to lvl 5)	 Mon Oct 17 02:59 - 03:05 (00:05) 　　4.18.0-80.el8.x86_64 
reboot   system boot Mon Oct 17 02:59 - 03:05 (00:06) 　　4.18.0-80.el8.x86_64 

wtmp begins Mon Oct 17 02:59:19 2023