linux怎么查mac地址 linux怎么查看登录用户密码

last是审核登录记录的首选，读取/var/log/wtmp二进制日志，记录完整的登录/注销、重启等字段，包括ip、终端、时间等字段，支持长期审核； who只检查/var/run/utmp，只反映当前在线状态。 Last read /var/log/wtmp —— 这个二进制日志文件是系统在每次成功登录/注销、重启、关机事件、时间跨度大（默认保留几个月）时自动记录的，包含IP、终端、时长等关键字段。而who只检查/var/run/utmp，只反映“这次，谁在”，一旦注销，就消失，无法追溯。last 默认情况下，最近的登录条目是按顺序显示，最近的登录位于顶部。如果看到reboot或runlevel，则说明系统已经重新启动。它不是用户登录空用户名（如 pts/0 前无名）。可能是非法登录。可能是残留登录或者日志损坏。需要与last-a IP检查结合起来。某些容器可能无法启用。常用参数及实时检测场景

例如查看用户近期活动，定位异常登录时间，确认是否有远程root人员：镝数设计

简单数据可视化工具下载last用户名：只指定用户所有登录记录（包括退出）last-i：强制显示登录源IP（否则网络地址经常显示为主机名，不可靠）last-n 20：限制输出到最后20条，避免利屏last-s "2024-05-01" -t "2024-05-10"：检查指定日期范围（注意格式必须为YYYY-MM-DD，不支持中文或斜体） last -x：另外显示关机、重启、运行级别改变事件，用于判断是否有任何人与服务器有物理接触，其适用边界和典型错误

谁不是最后一个简化版本，只解决一个具体问题：“现在是谁，来自哪里，在哪个航站楼”。适合检查脚本的实时状态。输出中的pts/0表示伪终端（通常是SSH或GUI终端），tty1是本地控制台。输出为空，不体老没人电影—— 可能是所有用户在detach后都使用了screen/tmux，或者通过systemd用户session登录，这些不会写入到utmpwho -u 可以看到每个session空秒，但是准确度取决于系统配置，Idle字段可能不准确，Idle字段可能无效，根据权限，日志很容易被忽略

最后和谁都不需要root权限可以运行，但是什么你可以看到取决于你是否有权限读取日志文件。

真正麻烦的是日志本身的状态：/var/log/wtmp会定期进行logrotation来压缩存档（如果变成wtmp.1、wtmp.2.gz），最后默认是只读的——想查更早早天得，得得手机解去，并指定：zcat /var/log/wtmp.2.gz | last -f - 有些发行版（如Alpine）默认不开启wtmp日志记录，需要确认PAM配置中是否有pam_lastlog.so，否则last总是空lastb 检查登录失败（对应/var/log/btmp），但默认只有root可以执行——普通用户运行会静默失败，不报错也不输出，容易误认为“失败日志” 登录成功后的SSH密钥，user@ip最后中间的IP是客户端的真实退出IP，但如果你运行的是pingboard机器或代理，这里显示的是pingboard机器IP，而不是原始来源。

检查日志日志不是命令。