Mysticbinary

只有通过概念的劳作才能获得真实的思想

linux 查询登陆成功、失败的用户 hids

查询登陆成功的用户:

last

单独执行last指令时,它会读取位于/var/log/wtmp的文件,并把该给文件的内容记录的登录系统的用户名单全部显示出来。
如果使用tail、cat命令查看这文件,格式对人类不太友好,还是使用命令比较好。

查询失败的用户:

lastb

单独执行lastb指令,它会读取位于/var/log/btmp的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。


列详解

  1. 用户名
    显示成reboot表示:当执行过启动或者重启操作在这里会记录成reboot

  2. 终端位置(有多种形式)

    • pts/0 (伪终端或虚拟终端) 意味着从诸如SSH或telnet的远程连接的用户
    yunwei   pts/0        10.x.x.x    Thu Aug  6 14:47 - 15:10  (00:23)
    yunwei   pts/1        10.x.x.x    Thu Aug  6 14:13 - 14:55  (00:41)
    
    • tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户
    • system boot —— 执行启动或者重启操作
    reboot   system boot  3.10.0-693.el7.x Mon Dec  9 14:18 - 11:25 (241+21:06)1)
    
  3. 登陆者的IP or 内核版本

    • 登录ip
    • 内核版本版本(猜测显示这些记录应该是属于系统的操作,如开机,关机,重启等操作)
    • 如果你看见:0.0 或者 什么都没有,这意味着用户通过本地终端连接。
  4. 开始时间,其中的日期格式为date +"%a %b %d"

  5. 结束时间,或者 still login in(表示还未退出登陆)

  6. 登陆持续了多长时间,如果是 still logged in 就会省略持续时间


查前10行和后10行的技巧

这个方法也适合和其它命令配合使用

lastb | head -10

lastb | tail -n 10

参考

https://www.cnblogs.com/felixzh/p/8671205.html


这篇文章对你有帮助吗?作为一名程序工程师,在评论区留下你的困惑或你的见解,大家一起来交流吧!
微信公众号: Mysticbinary
Github:https://github.com/Mysticbinary
本文版权归作者所有,欢迎转载,但未经作者同意请保留此段声明,请在文章页面明显位置给出原文链接
声明:本文章仅限于讨论网络安全技术,请勿用作任何非法用途,否则后果自负,本人和博客园不承担任何责任!

posted on 2020-08-07 11:58  Mysticbinary  阅读(788)  评论(0编辑  收藏  举报

导航