systempeaker_logo_blanco_con_name-6460170
Briefumschlag

So verwenden Sie den letzten Befehl in Linux

Inhalt

Linux-Laptop mit einer Bash-Eingabeaufforderung

Wer, wann und woher? Gute Sicherheitspraktiken besagen, dass Sie wissen sollten, wer auf Ihren Linux-Computer zugegriffen hat. Wir zeigen dir wie.

Die wtmp-Datei

Linux und andere Unix-ähnliche Betriebssysteme, wie macOS, sie sind sehr gut zum einloggen. Irgendwo in den Eingeweiden des Systems, Es gibt eine Aufzeichnung von fast allem, was man sich vorstellen kann. Das für uns interessante Logfile heißt wtmp. Die “w” podría significarcuándo” Ö “Wer”, niemand scheint zuzustimmen. La parte “tmp” probablemente significa “zeitlich”, pero además podría significarmarca de tiempo”.

Was wir wissen ist das wtmp ist ein Protokoll, das alle Login- und Logout-Ereignisse erfasst und aufzeichnet. Überprüfung der Daten im wtmp log ist ein grundlegender Schritt für einen sicherheitsbasierten Ansatz für Ihre Systemverwaltungsaufgaben. Für einen typischen Familiencomputer, kann aus Sicherheitsgründen nicht so kritisch sein, aber es ist interessant, die kombinierte Nutzung des Computers überprüfen zu können.

Im Gegensatz zu vielen textbasierten Protokolldateien in Linux, wtmp es ist eine binäre datei. Um die darin enthaltenen Daten einzugeben, Wir müssen ein Werkzeug verwenden, das für diese Aufgabe entwickelt wurde.

Dieses Werkzeug ist das last Befehl.

Der letzte Befehl

das last Befehl liest Daten aus wtmp log und zeigt es in einem Terminalfenster an.

Wenn du schreibst last und drücke Enter alle Datensätze anzeigen aus der Log-Datei.

letzte

Jeder Datensatz von wtmp wird im Terminalfenster angezeigt.

Von links nach rechts, jede Zeile enthält:

  • das Nutzername der eingeloggten Person.
  • das Terminal sie waren verbunden. Ein Terminaleingang von :0 bedeutet, dass sie sich am Linux-Computer selbst angemeldet haben.
  • das IP Adresse der Maschine, mit der sie verbunden waren.
  • das betreten Datums- und Zeitstempel.
  • das Dauer der Sitzung.

Die letzte Zeile gibt uns das Datum und die Uhrzeit der ersten in der Registrierung registrierten Sitzung an.

Ein Login-Eintrag für den Dummy-Benutzer 'reboot’ wird bei jedem Start des Computers in die Registry eingetragen. Das Terminalfeld wird durch die Kernel-Version ersetzt. Die Dauer der angemeldeten Sitzung für diese Einträge entspricht der Betriebszeit des Computers.

Zeigen Sie eine bestimmte Anzahl von Zeilen an

Verwendung der last Der Befehl allein erzeugt einen Dump des gesamten Protokolls, wobei das meiste davon durch das Terminalfenster geht. Der sichtbar bleibende Teil sind die ersten Daten des Datensatzes. Das ist wahrscheinlich nicht das, was du sehen wolltest.

Sie können sagen last um Ihnen eine bestimmte Anzahl von Ausgabezeilen zu geben. Tun Sie dies, indem Sie die gewünschte Anzahl von Zeilen in der Befehlszeile angeben. Beachten Sie das Skript. Um fünf Zeilen zu sehen, muss schreiben -5 und nein 5:

letzte -5

Dies ergibt die ersten fünf Zeilen des Datensatzes, was sind die neuesten daten.

Netzwerknamen für Remote-Benutzer anzeigen

das -d Die Option (Domainnamensystem) zeigt an last um zu versuchen, die IP-Adressen von Remotebenutzern in einem Hostnamen oder Netzwerk zu beheben.

letztes -d

Es ist nicht immer machbar für last um die IP-Adresse in einen Netzwerknamen umzuwandeln, aber der Befehl wird es tun, wenn möglich.

IP-Adressen und Netzwerknamen ausblenden

Wenn Sie nicht an der IP-Adresse oder dem Netzwerknamen interessiert sind, Verwenden Sie die -R (kein Hostname) um dieses Feld zu unterdrücken.

Weil dies eine sauberere Ausgabe ohne unansehnliche Wraps ergibt, diese Option wurde in allen folgenden Beispielen verwendet. Wenn Sie verwendet haben last um zu versuchen, ungewöhnliche oder verdächtige Aktivitäten zu identifizieren, es sollte Nein dieses Feld löschen.

Datensätze nach Datum auswählen

Du kannst den ... benutzen -s (von) um die Ausgabe so einzuschränken, dass nur Login-Ereignisse angezeigt werden, die ab einem bestimmten Datum aufgetreten sind.

Wenn Sie nur die Login-Ereignisse sehen möchten, die ab stattgefunden haben 26 Kann 2019, Ich würde folgenden Befehl verwenden:

letztes -R -s 2019-05-26

Die Ausgabe zeigt Protokolle mit Login-Ereignissen, die ab dem Zeitpunkt aufgetreten sind 00:00 des angegebenen Tages, bis zu den neuesten Einträgen in der Log-Datei.

Suche nach einem Enddatum

Du kannst den ... benutzen -t (bis um) ein Enddatum angeben. Auf diese Weise können Sie eine Reihe von Anmeldedatensätzen auswählen, die zwischen zwei interessanten Daten aufgetreten sind.

Dieser Befehl fragt last zum Abrufen und Anzeigen der Anmeldedatensätze aus dem 00:00 (Dämmerung) des Tages 26 bis um 00:00 (Dämmerung) des Tages 27. Dadurch wird die Liste auf die Login-Sitzungen reduziert, die nur an dem Tag stattgefunden haben 26.

Datums- und Zeitformate

Sie können sowohl Uhrzeiten als auch Datumsangaben mit der -s und -t Optionen.

Die verschiedenen Zeitformate, die mit dem . verwendet werden können last Die Alternativen, die Datums- und Uhrzeitangaben verwenden, sind (angeblich):

  • AAAAMMDDhhmmss
  • AAAA-MM-DD hh: mm: ss
  • AAAA-MM-DD hh: mm – Sekunden sind eingestellt auf 00
  • AAAA-MM-DD: die Zeit ist eingestellt auf 00:00:00
  • hh: mm: ss – das Datum ist auf heute gestellt
  • hh: mm: das Datum wird auf heute gestellt, die Sekunden in 00
  • jetzt
  • Gestern – die Zeit ist eingestellt auf 00:00:00
  • heute – die Zeit ist eingestellt auf 00:00:00
  • Morgen – die Zeit ist eingestellt auf 00:00:00
  • + 5Mindest
  • -5 Tage

Warum "angeblich"?

Das zweite und dritte Format der Liste hat während der Recherche für diesen Beitrag nicht funktioniert. Diese Befehle wurden auf Ubuntu-Distributionen getestet, Fedora und Manjaro. Diese stammen von Debian-Distributionen, RedHat und Arch, bzw. Das deckt alle wichtigen Linux-Distributionsfamilien ab.

letztes -R -s 2019-05-26 11:00 -T 2019-05-27 13:00

Wie du siehst, der Befehl hat keine Datensätze zurückgegeben.

Verwenden Sie das erste Datums-/Uhrzeitformat in der Liste mit derselben Datumszeit, da der obige Befehl Datensätze zurückgibt:

letztes -R -s 20190526110000 -T 20190527130000

Suche nach relativen Einheiten

Es gibt auch Zeiträume an, die in Minuten oder Tagen gemessen werden., in Verbindung mit dem aktuellen Datum und der Uhrzeit. Hier fordern wir Aufzeichnungen von vor zwei Tagen bis vor einem Tag an.

letztes -R -s -2days -t -1days

Gestern, heute und jetzt

Sie können verwenden yesterday und tomorrow als Abkürzung für das gestrige Datum und das heutige Datum.

letztes -R -s gestern -t heute

Nicht, dass dies keine Aufzeichnungen für heute enthält. Das ist das erwartete Verhalten. Der Befehl fordert Datensätze ab dem Startdatum an. bis um das Enddatum. Es tut nicht enthalten Datensätze innerhalb des Enddatums.

das now La opción es la abreviatura dehoy a la hora actual”. Um die Login-Ereignisse anzuzeigen, die seit dem 00:00 (Dämmerung) bis Sie den Befehl ausgeben, benutze diesen Befehl:

letztes -R -s heute -t ​​jetzt

Hier werden alle Login-Ereignisse bis zur aktuellen Uhrzeit angezeigt, einschließlich derer, die noch verbunden sind.

Ausgabe des letzten -R -s heute -t ​​jetzt

Die aktuelle Option

das -p Die Option (Hier bin ich) ermöglicht es Ihnen herauszufinden, wer zu einem bestimmten Zeitpunkt eingeloggt ist.

Es spielt keine Rolle, wann sie sich eingeloggt oder verlassen haben, aber wenn sie sich zu der von Ihnen angegebenen Zeit am Computer angemeldet haben, wird in die Liste aufgenommen.

Wenn Sie eine undatierte Zeit angeben last asume que te refieres a “heute”.

letztes -R -p 09:30

Menschen, die noch verbunden sind (offensichtlich) Sie haben keine Zeit zum Trennen; werden beschrieben als still logged in . Wenn der Computer seit dem von Ihnen angegebenen Zeitpunkt nicht neu gestartet wurde, wird erscheinen als still running.

Letzte Ausgabe -R -p 09:30

Wenn Sie das verwenden now Kurzform mit -p (Hier bin ich) Möglichkeit, Sie können herausfinden, wer online ist, sobald Sie den Befehl eingeben.

letztes -R -p jetzt

Dies ist ein ziemlich langer Weg, um das zu erreichen, was mit dem erreicht werden kann who Befehl.

VERBUNDEN: So ermitteln Sie das aktuelle Benutzerkonto unter Linux

Der letzte Befehl

das lastb Befehl verdient Erwähnung. Lesen Sie Daten aus einem Datensatz namens btmp. Es gibt etwas mehr Konsens über diesen Registrierungsnamen. La 'b’ bedeutet schlecht, aber der 'tmp-Teil’ steht noch zur Debatte.

lastb liste die bösen Jungs aufgescheitert) Zugriffsversuche. Akzeptieren Sie die gleichen Optionen wie last. Weil es fehlgeschlagene Anmeldeversuche waren, alle Einträge haben eine Erweiterung von 00:00.

Du musst benutzen sudo mit lastb.

sudo lastb -R

Das letzte Wort in dieser Angelegenheit

Wissen, wer bei Ihrem Linux-Computer angemeldet ist, und wann und wo gibt es nützliche Informationen. In Kombination mit den Angaben zu fehlgeschlagenen Anmeldeversuchen erhalten Sie die ersten Schritte zur Untersuchung verdächtigen Verhaltens..

setTimeout(Funktion(){
!Funktion(F,B,e,v,n,T,S)
{wenn(f.fbq)Rückkehr;n=f.fbq=Funktion(){n.callMethode?
n.callMethod.apply(n,Argumente):n.queue.push(Argumente)};
wenn(!f._fbq)f._fbq = n;n.drücken=n;n.geladen=!0;n.version=’2.0′;
n.Warteschlange=[];t=b.Element erstellen(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(T,S) } (window, dokumentieren,'Skript',
„https://connect.facebook.net/en_US/fbevents.js’);
fbq('drin', ‘335401813750447’);
fbq('Spur', 'Seitenansicht');
},3000);

Zusammenhängende Posts

  1. Warum DOS-Anwendungen weißen Text auf Blau verwendet haben
  2. Dateimanagerfreigabe in Mint 20
  3. So benennen Sie Screenshots unter Linux um
  4. Was ist Docker Compose und wie wird es verwendet??
Kürzliche Posts
Abonniere unseren Newsletter

Wir senden Ihnen keine SPAM-Mail. Wir hassen es genauso wie du.

Systeme immer am Peak

Twitter Facebook-f Youtube Mittel

Spiele

Technik

Unternehmen

Idiom