怎么看linux用户登录信息-知识分享-234导航

怎么看linux用户登录信息详细介绍

在 Linux 系统中查看用户登录信息是系统管理和安全审计的重要环节。以下从实时登录状态、历史记录、日志文件、图形化工具、高级审计及第三方方案等方面详细说明：

一、实时查看当前登录用户

二、查看登录历史记录

last 命令
读取 /var/log/wtmp 文件，显示所有用户的登录 / 注销记录：
bash
```
last  
last 
last username 
last 
last 
```

lastb 命令
查看失败的登录尝试（记录在 /var/log/btmp）：
bash
```
lastb  
lastb /var/log/btmp 
```

三、分析日志文件

认证日志
- Ubuntu/Debian：/var/log/auth.log
  记录用户登录、密码错误、sudo 使用等事件：bash
```
   /var/log/auth.log  
 /var/log/auth.log 
```
- Red Hat/CentOS：/var/log/secure
  功能与 auth.log 类似：bash
```
 journalctl  sshd   
```
二进制日志文件
- wtmp：记录所有登录 / 注销事件（使用 last 命令查看）。
- btmp：记录失败的登录尝试（使用 lastb 命令查看）。
utmp 文件
当前登录用户的实时信息，可通过 who 命令间接查看。

四、实时监控与过滤

journalctl 命令
实时追踪 systemd 日志，支持过滤：
bash
```
journalctl   systemd-logind.service  
journalctl sshd 
```

脚本实时监控
使用 inotifywait 监控日志文件变化：
bash
```
 inotifywait  /var/log/auth.log  modify    path event      / 
```

五、图形化工具

系统日志查看器
- GNOME：gnome-logs
- KDE：ksystemlog
  提供图形界面浏览日志，支持搜索和过滤。
QJournalctl
基于 Qt 的跨平台工具，支持远程日志查看：
bash
```
   qjournalctl  
```

第三方工具
- ELK Stack：Elasticsearch + Logstash + Kibana，适合大规模日志分析。
- Graylog：开源日志管理平台，支持实时监控和报警。

六、高级审计与管理

auditd 工具
安装并配置审计规则，记录登录事件：
bash

auditd auditctl /var/log/auth.log wa user_login ausearch user_login username

日志轮转（logrotate）
配置 logrotate 定期清理日志，避免磁盘空间耗尽：
bash

/etc/logrotate.d/auth.log

conf

/var/log/auth.log {
 daily
 rotate 7
 compress
 delaycompress
 missingok
}

权限与安全
- 查看日志文件需 root 权限，使用 sudo。
- 限制日志文件权限：bash
```
   /var/log/auth.log
```

七、不同发行版的日志路径差异

八、示例场景

监控特定用户
bash

last username ausearch username USER_LOGIN

九、总结

通过以上方法，管理员可全面掌握系统登录情况，及时发现异常行为并加强安全防护。

← 上一篇: linux从excel文件怎么打开下一篇: linux不保存怎么退出命令→