在Linux中,可以通过以下方式查看当前用户的登录记录:
- 查看lastlog文件:
# 查看lastlog文件
cat /var/log/lastlog
# 只查看当前用户记录
cat /var/log/lastlog | grep $(whoami)
lastlog文件存储着所有用户最后一次登录的时间与主机名。- 查看wtmp文件:
# 查看wtmp文件
sudo last -f /var/log/wtmp
# 只查看当前用户记录
sudo last -f /var/log/wtmp $(whoami)wtmp文件存储着所有登录与登出事件的记录。
- 查看utmp文件:
# 查看当前登录用户
who
# 查看详细信息
wutmp文件存储着当前登录用户的信息。
- 查看用户的history记录:
history命令可以查看用户的历史执行命令。
# 查看history记录
history
# 查看详细history记录
less ._history._history文件存储着用户在当前Shell会话中的所有执行历史。
- 查看audit日志:
auditd服务可以审计用户的登录与 logout 事件。日志在/var/log/audit/目录下。
# 查看audit日志
sudo auditctl -l /var/log/audit/audit.log
# 筛选当前用户
sudo auditctl -l /var/log/audit/audit.log | grep $(whoami)