Phân Tích Chi Tiết Lệnh last trong Linux

Lệnh last giúp kiểm tra lịch sử đăng nhập hệ thống qua tập tin nhật ký. Công cụ này đọc dữ liệu từ file /var/log/wtmp để liệt kê thông tin người dùng, thiết bị đầu cuối và thời điểm kết nối.

Cú pháp cơ bản:
last [-số_lượng | -n số_lượng] [-f tập_tin] [-trước_thời_điểm] [-R] [-adioxFw] [tên_người_dùng...] [thiết_bị...]

Tham số quan trọng

  • -n hoặc -số_lượng: Giới hạn số bản ghi hiển thị
  • -f: Chỉ định tập tin nhật ký thay thế (mặc định là wtmp)
  • -trước_thời_điểm: Định dạng YYYYMMDDHHMMSS, lọc sự kiện trước thời điểm này
  • -R: Ẩn tên máy chủ/IP nguồn
  • -a: Hiển thị IP ở cột cuối cùng
  • -d: Chuyển địa chỉ IP thành tên máy chủ
  • -x: Theo dõi trạng thái hệ thống (khởi động/tắt)
  • -F: Hiển thị thời gian đầy đủ

Giải mã đầu ra

Cột Mô tả
Tên người dùng Tài khoản thực hiện đăng nhập
Thiết bị pts/* (kết nối từ xa qua SSH), tty* (kết nối vật lý)
IP/Kernel Địa chỉ nguồn hoặc thông báo nội hạt
Thời gian bắt đầu Ngày giờ khởi tạo phiên
Thời gian kết thúc still logged in (đang hoạt động), down (tắt máy chuẩn), crash (sự cố)
Thời lượng Tổng thời gian phiên làm việc

Ví dụ minh họa

Hiển thị 5 phiên đăng nhập gần nhất:

$ last -n 5
admin    pts/3        192.168.1.100    Mon Jun 10 14:22 - 14:45  (00:23)
sysop    pts/2        10.0.0.5         Mon Jun 10 13:15   still logged in
backup   tty1                          Mon Jun 10 09:30 - 10:15  (00:45)
reboot   system boot  5.10.0-26-amd64  Mon Jun 10 09:28 - 10:16  (00:47)
admin    pts/1        192.168.1.100    Mon Jun 10 08:45 - 09:20  (00:35)
wtmp begins Fri Jun 07 07:15:22 2024

Kiểm tra nhật ký đăng nhập thất bại (btmp):

$ last -f /var/log/btmp -n 3
hackuser pts/5        203.0.113.15     Tue Jun 11 02:17 - 02:17  (00:00)
unknown  pts/4        198.51.100.22    Tue Jun 11 01:45 - 01:45  (00:00)
root     tty2                          Tue Jun 11 00:30 - 00:30  (00:00)
btmp begins Tue Jun 11 00:30:12 2024

Chuyển đổi IP thành tên máy chủ:

$ last -n 2 -d
admin    pts/3        workstation01    Mon Jun 10 14:22 - 14:45  (00:23)
sysop    pts/2        db-server        Mon Jun 10 13:15   still logged in

Lọc sự kiện trước 15:00 ngày 10/06/2024:

$ last -t 20240610150000 -n 2
backup   tty1                          Mon Jun 10 09:30 - 10:15  (00:45)
reboot   system boot  5.10.0-26-amd64  Mon Jun 10 09:28 - 10:16  (00:47)

Thẻ: linux-command system-logs wtmp btmp authentication

Đăng vào ngày 4 tháng 7 lúc 17:31