如何查看服务器上的登录操作记录？

服务器查看登录操作记录

在管理和维护服务器的过程中，查看登录操作记录是一个至关重要的任务，它不仅能够帮助管理员了解谁在何时访问了服务器，还能为安全审计提供重要的依据，本文将详细介绍如何查看服务器的登录操作记录，包括使用的命令、工具以及注意事项。

一、Linux服务器查看登录记录

使用`last`命令

last命令是Linux系统中最常用的查看登录记录的命令之一，它可以显示系统的登录和注销信息，包括用户名、登录时间、会话持续时间等。

last

执行上述命令后，系统会输出类似如下的信息：

username   pts/0        192.168.1.100    Fri Oct  7 09:30   still logged in
username   pts/1        192.168.1.101    Tue Oct  4 10:20 10:50  (01:30)

各列的含义如下：

username：登录的用户名

pts/X：伪终端号

IP地址：远程登录的IP地址（如果是本地登录则显示为(unknown)）

日期时间：登录的时间

会话持续时间：会话持续的时间，如果用户仍然登录则显示为still logged in

使用`w`命令

w命令可以实时显示当前登录到系统的用户及其活动情况，与last命令不同，w命令只显示当前在线的用户。

w

执行上述命令后，系统会输出类似如下的信息：

 09:35:22 up 22 days,  3:46,  2 users,  load average: 0.00, 0.01, 0.05
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
username pts/0    192.168.1.100   09:30    0.00s  0.02s  0.00s -bash
root     pts/1    192.168.1.101   10:20    1:30   0.02s  0.01s -bash

各列的含义如下：

USER：用户名

TTY：终端类型

FROM：远程登录的IP地址或主机名

LOGIN@：登录时间

IDLE：空闲时间

JCPU：连接的总CPU时间

PCPU：当前进程的CPU时间

WHAT：正在执行的命令

使用`who`命令

who命令可以显示当前登录到系统的用户列表，与w命令类似，但输出的信息较为简略。

who

执行上述命令后，系统会输出类似如下的信息：

username   pts/0        2023-10-07 09:30 (192.168.1.100)
root       pts/1        2023-10-04 10:20 (192.168.1.101)

各列的含义如下：

username：用户名

TTY：终端类型

登录时间：登录的时间

IP地址：远程登录的IP地址或主机名（如果是本地登录则不显示）

二、Windows服务器查看登录记录

使用事件查看器

Windows服务器的事件查看器中包含了详细的安全日志，其中包括用户的登录和注销记录，以下是查看步骤：

1、打开“事件查看器”（可以通过运行eventvwr.msc命令打开）。

2、在左侧导航栏中选择“Windows日志” > “安全”。

3、在中间的列表中找到并双击“审核成功”或“审核失败”的登录事件。

4、在弹出的窗口中可以看到详细的登录信息，包括用户名、登录时间、登录类型等。

使用PowerShell脚本

PowerShell也可以用来查询Windows的安全日志，以下是一个简单的示例脚本：

Get-EventLog -LogName Security | Where-Object { $_.EventID -eq 4624 } | Select-Object TimeGenerated, Message

执行上述脚本后，系统会输出类似如下的信息：

TimeGenerated           Message
-----------------      ---------------------------------------------------------
10/7/2023 9:30:00 AM    An account was successfully logged on.
10/4/2023 10:20:00 AM   An account was successfully logged on.

4624是Windows安全日志中表示成功登录的事件ID。

三、注意事项

1、权限要求：查看某些登录记录可能需要管理员权限，确保你有足够的权限来执行相关命令或访问相应的日志文件。

2、日志保留策略：定期检查并清理旧的日志文件，以防止磁盘空间被占用过多，确保日志保留策略符合公司的合规要求。

3、安全性：保护好日志文件，防止未经授权的人员访问或修改，可以使用加密技术来保护日志文件的安全性。

4、自动化监控：考虑使用自动化工具来监控登录记录，及时发现异常行为，可以设置邮件告警，当检测到多次失败的登录尝试时自动发送通知。

5、合规性：确保你的日志记录和查看流程符合相关法律法规的要求，特别是在处理敏感数据时。

四、归纳

通过上述方法，我们可以有效地查看服务器的登录操作记录，从而帮助管理员更好地管理和保护服务器的安全，无论是Linux还是Windows服务器，都有相应的工具和命令可以帮助我们完成这项任务，希望本文对你有所帮助！

FAQs

Q1: 如何更改Linux服务器上的登录记录保留时间？

A1: 在Linux服务器上，登录记录通常保存在/var/log/wtmp文件中，要更改登录记录的保留时间，可以通过配置logrotate服务来实现，编辑/etc/logrotate.conf或创建一个新的配置文件（例如/etc/logrotate.d/wtmp），添加以下内容：

/var/log/wtmp {
    missingok
    monthly
    create 644 root utmp
    rotate 12
    compress
    delaycompress
    notifempty
}

然后运行logrotate -d /etc/logrotate.conf进行测试，确认无误后运行logrotate /etc/logrotate.conf生效，这样，/var/log/wtmp文件将每月轮换一次，并保留最近12个月的记录。

Q2: Windows服务器上的安全日志满了怎么办？

A2: 如果Windows服务器上的安全日志满了，可以通过以下步骤来处理：

1、打开“事件查看器”（可以通过运行eventvwr.msc命令打开）。

2、在左侧导航栏中选择“Windows日志” > “安全”。

3、右键点击“安全”日志，选择“属性”。

4、在“日志保留策略”选项卡中，可以选择以下几种处理方式：

存档日志文件：将旧的日志文件存档，并删除现有的日志文件，可以选择存档的文件路径和最大存档文件数。

覆盖旧日志文件：当达到最大日志大小时，自动覆盖最早的日志文件。

不覆盖日志文件：当达到最大日志大小时，停止记录新的事件。

5、根据需要选择合适的策略，并点击“确定”保存设置。

6、如果需要立即释放空间，可以手动清除旧的日志文件，在“安全”日志的属性窗口中，点击“清除日志”按钮，然后点击“保存”即可。

到此，以上就是小编对于“服务器查看登录操作记录”的问题就介绍到这了，希望介绍的几点解答对大家有用，有任何问题和不懂的，欢迎各位朋友在评论区讨论，给我留言。