使用 `last` 命令查看登录记录
在大多数Linux发行版中,你可以使用last 命令来查看最近的登录记录,这个命令会读取/var/log/wtmp 文件,该文件记录了所有的登录和注销事件。
last
输出示例:
root pts/0 192.168.1.100 Fri Oct 6 14:35 still logged in john pts/1 192.168.1.101 Fri Oct 6 14:40 14:45 (00:05) alice pts/2 192.168.1.102 Fri Oct 6 15:00 15:05 (00:05)
使用lastlog 命令查看最后登录时间
lastlog 命令可以显示每个用户的最后一次登录时间,它读取/var/log/lastlog 文件。
lastlog
输出示例:
Username Last login root Fri Oct 6 14:35:27 from 192.168.1.100 john Fri Oct 6 14:40:00 from 192.168.1.101 alice Fri Oct 6 15:00:00 from 192.168.1.102
使用 `who` 命令查看当前登录用户
who 命令可以显示当前登录到系统的所有用户。
who
输出示例:
root pts/0 Oct 6 14:35 (192.168.1.100) john pts/1 Oct 6 14:40 (192.168.1.101)
查看auth.log 或secure 日志文件
对于更详细的登录信息,可以查看系统的认证日志文件,在不同的Linux发行版中,这些文件的位置可能有所不同,常见的日志文件包括:
Ubuntu/Debian:/var/log/auth.log
Red Hat/CentOS:/var/log/secure
你可以使用tail、less 或grep 等命令来查看这些日志文件。
tail -f /var/log/auth.log
或者搜索特定的登录尝试:
grep "sshd" /var/log/auth.log
使用w 命令查看当前登录用户及其活动
w 命令提供了当前登录用户的详细信息,包括他们正在运行的进程。
w
输出示例:
14:35:27 up 1 day, 3:45, 2 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.1.100 14:35 2:35 0.02s 0.02s -bash john pts/1 192.168.1.101 14:40 0.00s 0.10s 0.05s -bash
使用netstat 命令查看网络连接
netstat 命令可以用来查看当前的网络连接,包括远程登录的SSH连接。
netstat -atn | grep ESTABLISHED
输出示例:
tcp 0 0 192.168.1.100:22 192.168.1.101:59637 ESTABLISHED tcp 0 0 192.168.1.100:22 192.168.1.102:59638 ESTABLISHED
使用iptables 日志查看登录尝试
如果你的服务器使用了iptables 进行防火墙配置,并且配置了日志记录功能,可以通过查看iptables 日志来获取登录尝试的信息,这些日志会写入/var/log/messages 或/var/log/syslog。
tail -f /var/log/messages | grep "ssh"
常见问题解答(FAQs)
Q1: 如何更改last 命令的输出格式?
A1: 你可以使用last 命令的选项来更改输出格式,使用-F 选项可以获得完整格式的输出,包括用户名、终端、主机名、登录时间和持续时间。
last -F
Q2: 如果我发现有可疑的登录尝试,应该怎么办?
A2: 如果你发现有可疑的登录尝试,首先应该检查相关的日志文件以获取更多信息,根据情况采取以下措施:
更改受影响账户的密码。
审查服务器的安全设置,确保没有未授权的访问点。
如果有必要,通知网络安全团队或管理员。
如果怀疑是恶意攻击,考虑暂时禁用远程登录服务,直到问题得到解决。
以上就是关于“服务器查看远程登录记录”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1279234.html
本网站发布或转载的文章及图片均来自网络,其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
发表回复