linux 登录记录查询_linux 查询登陆记录 - CSDN
  • Linux 查看登录日志

    2018-08-17 10:28:29
     Linux查看/var/log/wtmp文件查看可疑IP登陆  last -f /var/log/wtmp   该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大, ...

    一、查看日志文件

     Linux查看/var/log/wtmp文件查看可疑IP登陆

     last -f /var/log/wtmp

     

    该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,

    增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,

    last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。

     

    查看/var/log/secure文件寻找可疑IP登陆次数

     

    二、 脚本生成所有登录用户的操作历史

    在linux系统的环境下,不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录,可是假如一台服务器多人登陆,一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录(命令:history)是没有什么意义了(因为history只针对登录用户下执行有效,即使root用户也无法得到其它用户histotry历史)。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢?答案:有的。

    通过在/etc/profile里面加入以下代码就可以实现:

    PS1="`whoami`@`hostname`:"'[$PWD]'
    USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
    if [ "$USER_IP" = "" ]
    then
    USER_IP=`hostname`
    fi
    if [ ! -d /tmp/dbasky ]
    then
    mkdir /tmp/dbasky
    chmod 777 /tmp/dbasky
    fi
    if [ ! -d /tmp/dbasky/${LOGNAME} ]
    then
    mkdir /tmp/dbasky/${LOGNAME}
    chmod 300 /tmp/dbasky/${LOGNAME}
    fi
    export HISTSIZE=4096
    DT=`date "+%Y-%m-%d_%H:%M:%S"`
    export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
    chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

    source /etc/profile 使用脚本生效

    退出用户,重新登录

    ?面脚本在系统的/tmp新建个dbasky目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个方法来监测系统的安全性。

    root@zsc6:[/tmp/dbasky/root]ls
    10.1.80.47 dbasky.2013-10-24_12:53:08
    root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

     

    转自: https://www.landui.com/help/show-2714.html

    展开全文
  • Linux - 查看用户登录记录 有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。 who、w 和 users 等命令通过 utmp(/...

    转载:https://www.cnblogs.com/huey/p/4494365.html

    Linux - 查看用户登录记录

    有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。

    who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。
    last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查询当前与过去登录系统的用户的信息。
    lastb 命令通过 btmp(/var/log/btmp) 文件查询所有登录系统失败的用户的信息。
    lastlog 命令通过 lastlog(/var/log/lastlog) 文件查询用户最后一次登录的信息。

     

    who 命令:显示当前当登录的用户的信息

    huey@huey-K42JE:~$ who
    huey     pts/1        2015-05-11 18:29 (192.168.1.105)
    sugar    pts/2        2015-05-11 18:29 (192.168.1.105)

    w 命令:显示登录的用户及其当前执行的任务

    huey@huey-K42JE:~$ w
     18:30:51 up 3 min,  2 users,  load average: 0.10, 0.14, 0.06
    USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
    huey     pts/1    192.168.1.105    18:29    3.00s  0.52s  0.00s w
    sugar    pts/2    192.168.1.105    18:29    1:07   0.47s  0.47s -bash

    users 命令:显示当前当登录的用户的用户名

    huey@huey-K42JE:~$ users
    huey sugar

    last 命令:显示当前与过去登录系统的用户的信息

    复制代码

    huey@huey-K42JE:~$ last
    root     pts/3        192.168.1.105    Mon May 11 18:33 - 18:33  (00:00)    
    sugar    pts/2        192.168.1.105    Mon May 11 18:32   still logged in   
    sugar    pts/2        192.168.1.105    Mon May 11 18:29 - 18:32  (00:02)    
    huey     pts/1        192.168.1.105    Mon May 11 18:29   still logged in   
    reboot   system boot  3.5.0-43-generic Mon May 11 18:27 - 18:33  (00:05)    
    huey     pts/1        192.168.1.105    Sat May  9 10:57 - 17:31  (06:33)

    复制代码

    lastb 命令:显示所有登录系统失败的用户的信息

    huey@huey-K42JE:~$ sudo lastb
    
    btmp begins Sat May  9 09:48:59 2015

    lastlog 命令:显示用户最后一次登录的信息

    复制代码

    huey@huey-K42JE:~$ lastlog 
    用户名           端口     来自             最后登陆时间
    root             pts/3    192.168.1.105    一  5月 11 18:36:43 +0800 2015
    daemon                                     **从未登录过**
    bin                                        **从未登录过**
    sys                                        **从未登录过**
    ......
    hplip                                      **从未登录过**
    saned                                      **从未登录过**
    huey             pts/1    192.168.1.105    一  5月 11 18:29:40 +0800 2015
    guest-mIZNkv                               **从未登录过**
    guest-bCf1SI                               **从未登录过**
    sugar            pts/2    192.168.1.105    一  5月 11 18:32:28 +0800 2015
    mysql                                      **从未登录过**
    sshd                                       **从未登录过**

    复制代码

    ac 命令:显示用户连接时间的统计数据
    a) 显示每天的总的连接时间

    huey@huey-K42JE:~$ ac -d
    May  9	total        6.55
    Today	total        0.54

    b) 显示每个用户的总的连接时间

    huey@huey-K42JE:~$ ac -p
    	huey                                 6.78
    	sugar                                0.23
    	root                                 0.12
    	total        7.13
    展开全文
  • 网上流传个这样一篇关于记录linux远程操作记录的文章:很可惜的是没有该出详细的解释,   USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` (who -u am i 会显示系统中登陆进来的用户及...

    网上流传个这样一篇关于记录linux远程操作记录的文章:很可惜的是没有该出详细的解释,

     

    USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` (who -u am i 会显示系统中登陆进来的用户及登陆从哪个IP登陆进来的,这里后面过滤了就取值一个登陆进来的IP)
    if [ "$USER_IP" = "" ]
    then
    USER_IP=`hostname`
    fi
    if [ ! -d /tmp/ruige ]
    then
    mkdir /tmp/ruige
    chmod 777 /tmp/ruige
    fi
    if [ ! -d /tmp/ruige/${LOGNAME} ]
    then
    mkdir /tmp/ruige/${LOGNAME}
    chmod 300 /tmp/ruige/${LOGNAME}
    fi
    export HISTSIZE=4096
    DT=`date '+%Y:%m:%d %r'`
    export HISTFILE="/tmp/ruige/${LOGNAME}/${USER_IP} ruige.$DT"
    chmod 600 /tmp/ruige/${LOGNAME}/*ruige* 2>/dev/null

    这个shell脚本很简单,但如果像我一样的对history命令不了解的菜鸟,真是表示看不懂啊!

    首先我不理解 HISTFILE是什么意思,更不知道设置HISTSIZE变量有什么作用?网上了查了关于history的用法也没有提及这2个变量啊,于是就想当然的以为这2个变量是自定义的,还有一个我不理解,环境变量是用户连接到shell的时候就触发的,那又怎么能记录用户的操作呢?

    菜鸟总是要成长的,后来,我无意间了解了真相,供刚入门的linux菜鸟学习!

    关于history的有2个系统变量 配置history:HISTFILE及HISTSIZE,

    系统保存的历史事件数被保存在一个特定的系统变量中,这个变量就是HISTSIZE。这个变量的缺省值通常被设置为500。这个值可以被修改。例如:
    $ HISTSIZE=10
    将HISTSIZE的值重新设置为10。
    历史事件被保存在一个文件中,文件名由变量HISTFILE指定。通常这个文件的缺省名是.bash_history。通过给变量HISTFILE赋值,可以指定新的文件名。

    注意!普通用户的权限,如果没有权限在你指定的位置创建并且写入的话,则出错

    [例】
    $ echo $HISTFILE
    /home/lisa/.bash_history
    $ HISTFILE=”/home/lisa/newhist”
    $ echo $HISTFILE
    /home/lisa/newhist
    以上操作先显示变量HISTFILE的值,然后赋予它新的值“/home/lisa/newhist”,以后所有的历史事件将被保存在newhist文件中。
    ################################################################

    看到这儿你应该明白过来了吧!整个shell脚本的目的就是指定history的2个系统变量的值!这样当用户连接上shell之后,history就会一直记录用户的操作,保存到你指定的新文件里面!

     

    参考来自:http://ruilinux.blog.51cto.com/4265949/845405

    http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=1941583

    展开全文
  • Linux查看ssh登陆记录

    2020-06-22 15:56:22
    使用这个功能其实并不需要安装任何的软件。 跟着我一起敲命令: cd /var /log 行了~~~不闹了,我好好敲????...#----------------------------------示例:------------------------------------------------ ...

    使用这个功能其实并不需要安装任何的软件。
    跟着我一起敲命令:
    cd
    /var
    /log
    行了~~~不闹了,我好好敲?

    $ cd /var/log
    最近登录的日志:
    $ last
    #----------------------------------示例:------------------------------------------------
    [root@VM_0_2_centos ~]# cd /var/log
    [root@VM_0_2_centos log]# last
    root     pts/0        111.197.246.225  Fri Sep  6 10:29   still logged in				#表示正在登陆中……
    root     pts/3        111.197.246.225  Mon Sep  2 12:38 - 14:46  (02:07)
    root     pts/2        111.197.246.225  Mon Sep  2 12:29 - 14:43  (02:14)
    root     pts/0        111.197.246.225  Mon Sep  2 11:46 - 13:54  (02:07)
    root     pts/0        114.244.194.18   Wed Aug 28 22:57 - 00:51  (01:53)
    root     pts/6        111.197.243.251  Wed Aug 28 17:49 - 20:25  (02:35)
    root     pts/5        111.197.243.251  Wed Aug 28 17:33 - 19:49  (02:16)
    root     pts/4        111.197.243.251  Wed Aug 28 17:11 - 19:24  (02:12)
    root     pts/3        111.197.243.251  Wed Aug 28 16:56 - 19:12  (02:15)
    root     pts/2        111.197.243.251  Wed Aug 28 16:33 - 19:02  (02:28)
    root     pts/0        111.197.243.251  Wed Aug 28 16:28 - 18:39  (02:11)
    root     pts/0        114.244.194.18   Tue Aug 27 22:07 - 02:17  (04:09)
    root     pts/0        111.197.243.251  Tue Aug 27 18:13 - 18:24  (00:10)
    root     pts/3        106.38.133.219   Fri Aug 16 20:10 - 22:22  (02:11)
    root     pts/2        111.197.242.18   Fri Aug 16 19:59 - 22:12  (02:13)
    root     pts/0        111.197.242.18   Fri Aug 16 17:30 - 18:13 (11+00:43)
    root     pts/1        27.17.236.108    Tue Jul 23 16:59 - 19:04  (02:05)
    root     pts/0        27.17.236.108    Tue Jul 23 16:19 - 18:35  (02:16)
    root     pts/4        27.17.236.108    Mon Jul 22 22:28 - 00:42  (02:14)
    root     pts/3        27.17.236.108    Mon Jul 22 22:05 - 00:35  (02:29)
    root     pts/2        27.17.236.108    Mon Jul 22 21:56 - 00:09  (02:12)
    root     pts/0        27.17.236.108    Mon Jul 22 21:10 - 23:22  (02:11)
    root     pts/1        27.17.236.108    Mon Jul 22 20:59 - 23:18  (02:19)
    root     pts/1        27.17.236.24     Mon Jul 22 19:24 - 19:24  (00:00)
    root     pts/0        27.17.236.24     Mon Jul 22 18:49 - 21:02  (02:12)
    root     pts/0        111.230.154.177  Mon Jul 22 18:44 - 18:44  (00:00)
    root     pts/0        119.28.22.215    Mon Jul 22 18:44 - 18:44  (00:00)
    
    wtmp begins Mon Jul 22 18:44:18 2019
    
    

    展开全文
  • Linux查看/var/log/wtmp文件查看可疑IP登陆 last -f /var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大, 增加的...
  • 1、查看当前登录用户信息 who命令: ... who /var/log/wtmp 可以查看自从wtmp文件创建以来的每一次登陆情况 (1)-b:查看系统最近一次启动时间 (2)-H:打印每列的标题 ...每个用户都有一份命令历史记录 查看...
  • 清除Linux登录记录

    2019-07-24 19:32:23
    CentOS cat /dev/null > /var/log/wtmp cat /dev/null > /var/log/btmp cat /dev/null > /var/log/lastlog cat /dev/null > /var/log/secure history -c history -w
  • Linux OS下增加实时记录用户执行的命令 Linux是一种支持多用户操作的OS, 经常OS文件做出了一些更改,但是无从查起是谁,是什么时候做的修改。其实Linux下可以借助PROMPT_COMMAND这个环境变量实现这一功能,环境变量...
  • 测试环境 RHEL 5.6 bashlinux 下可以用 w 来查看当前登录用户信息;如果是SSH登录,也可查看 $SSH_CLIENT 得到登录用户信息,但如果是FTP等方式,则无法得到需要的信息;但用 w 有个问题,如果是同个用户登录,则有...
  • 一般来说我们可以用history命令来查看用户的操作记录,但是这个命令不能记录是那个用户登录操作的,也不能记录详细的操作时间,并且不是完整的。所以误操作而造成重要的数据丢失就很难查到是谁操作的。 在这里我们...
  • 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息 [root@localhost root]# last //此时即查不到用户登录信息 清除登陆系统失败的记录 ...
  • 第一种,sh放profile的方式 linux 精确记录用户IP以及用户操作命令 主要功能: 可以记录哪个ip和时间(精确到秒)作了哪些命令 通过用户登录时候,重新定义HISTFILE HISTFILE文件名包含登录用户名,ip,登录...
  •  使用root登陆使用last -x可查看用户登陆历史。  last 命令:  功能说明:列出目前与过去登入系统的用户相关信息。  语 法:last [-adRx][-f ][-n ][帐号名称…][终端机编号…]  补充说明...
  • 2.使用root登陆使用last -x可查看用户登陆历史。 last 命令: 功能说明:列出目前与过去登入系统的用户相关信息。 语 法:last [-adRx][-f ][-n ][帐号名称…][终端机编号…] 补充说明:单独执行last指令,它会读取...
  • Linux记录操作日志

    2019-03-15 21:46:37
    history命令可以查看最近1000条命令。 调整history命令的大小: vi /etc/profile HISTSIZE=1000 #改为 history日志文件默认是保存在.bash_history文件下。 ...history命令默认是没有时间的,可以在/etc/bashrc文件下...
  • 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp //此文件默认打开时乱码,可查到ip等信息 [root@localhost root]# last //此时即查不到用户登录信息 清除登陆系统失败的记录 ...
  • 在bash功能中,它能记忆使用过的命令,这个功能最大的好处就是可以查询曾经做过的举动! 从而可以知道你的运行步骤,那么就可以追踪你曾下达过的命令,以作为除错的工具! 二、History的保存 那么命令记录在哪里呢...
  • Linux 记录所有用户登录和操作的详细日志
  • root 用户下 第一步 vi /etc/profile –添加如下内容 PS1="[`whoami`@`hostname`: "'$PWD]#' ...USER_IP=`who -u am i 2&.../dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` ...USER_IP=`...
1 2 3 4 5 ... 20
收藏数 65,093
精华内容 26,037
关键字:

linux 登录记录查询