Centos lastlog命令详解（如何查看Linux用户最后登录记录）

什么是 lastlog 命令？

lastlog 是一个用于显示系统中所有用户最近一次登录信息的命令。它会读取 /var/log/lastlog 文件，并以表格形式列出用户名、终端、登录IP地址以及最后登录时间。

基本用法

在终端中直接输入以下命令：

lastlog  

执行后，你会看到类似如下的输出：

Username         Port     From             Latestroot             pts/0    192.168.1.100    Mon Jun 10 14:23:05 +0800 2024john             pts/1    10.0.0.5         Fri Jun  7 09:12:33 +0800 2024daemon                                    **Never logged in**bin                                       **Never logged in**...  

其中：
- Username：用户名
- Port：登录使用的终端（如 pts/0 表示远程SSH登录）
- From：登录来源IP地址
- Latest：最后登录时间；若从未登录，则显示 “**Never logged in**”

常用选项

除了基本用法，lastlog 还支持一些实用参数：

• -u 用户名：只显示指定用户的最后登录信息
  

  lastlog -u root      

• -t 天数：只显示最近 N 天内登录过的用户
  

  lastlog -t 7  # 显示最近7天内登录的用户      

• -b 天数：排除最近 N 天内登录的用户（常用于查找长期未登录账户）
  

  lastlog -b 30  # 显示30天前登录过、之后再未登录的用户      

为什么需要关注最后登录记录？

定期检查 Centos lastlog命令 的输出，有助于：

• 发现异常登录行为（如未知IP地址）
• 清理长期未使用的僵尸账户，提升 系统安全审计 水平
• 确认关键账户（如 root）是否被正常访问
• 满足企业合规要求（如等保、ISO27001）

注意事项

- /var/log/lastlog 文件是二进制格式，不能直接用 cat 查看。
- 如果用户通过 su 切换身份，lastlog 不会更新该用户的登录记录（仅记录首次登录）。
- 某些服务账户（如 nobody、daemon）通常不会登录，显示 “Never logged in” 属于正常现象。

结语

通过本文，你应该已经掌握了如何使用 Linux用户最后登录 查询工具 lastlog。建议将此命令纳入你的日常运维清单，定期执行以保障服务器安全。如果你正在做 查看最后登录记录 的安全检查，不妨现在就打开终端试试吧！