CentOS last命令详解（手把手教你查看用户登录历史）

一、什么是 last 命令？

last 命令用于显示系统中最近的用户登录记录，它会读取 /var/log/wtmp 文件（该文件记录了所有用户的登录和登出信息），并以易读的方式展示出来。

通过 last 命令，你可以看到：

• 用户名
• 登录终端（如 pts/0、tty1 等）
• 登录来源 IP 地址或主机名
• 登录时间与登出时间
• 持续在线时长

二、基本用法：查看所有用户登录历史

在终端中直接输入以下命令：

last

执行后，你会看到类似如下的输出：

root     pts/0        192.168.1.100    Wed Jun 12 10:23 - 11:45  (01:22)alice    pts/1        10.0.0.5         Wed Jun 12 09:15 - 10:30  (01:15)bob      tty1                          Tue Jun 11 14:00 - down   (02:30)reboot   system boot  5.14.0-70.el9    Tue Jun 11 13:55 - 16:30  (02:35)

每一行代表一次登录或系统事件（如 reboot、shutdown）。

三、常用选项与技巧

1. 只查看特定用户的登录记录

例如，只查看用户 alice 的登录历史：

last alice

2. 限制显示的行数

使用 -n 参数指定显示多少条记录，比如只看最近 5 条：

last -n 5

3. 查看关机或重启记录

系统重启和关机会被记录为 reboot 或 shutdown 用户：

last rebootlast shutdown

4. 不显示主机名/IP（简洁模式）

last -R

四、注意事项

• /var/log/wtmp 文件可能会被定期轮转（logrotate），因此只能看到一定时间段内的记录。
• 如果系统被入侵，攻击者可能删除或篡改 wtmp 日志，因此建议配合其他日志（如 /var/log/secure）一起分析。
• 普通用户也可以运行 last 命令，但某些敏感信息可能受限。

五、总结

通过本教程，你已经掌握了在 CentOS 系统中使用 last 命令查看用户登录历史 的基本方法和实用技巧。无论是排查异常登录，还是审计系统使用情况，last 都是一个不可或缺的工具。

记住这些 SEO关键词： CentOS last命令、 查看用户登录历史、 Linux用户登录记录、 last命令使用教程。

现在就打开你的 CentOS 终端，试试 last 命令吧！