linux下怎麼檢視ssh的使用者登入日誌

ssh使用者的登入日誌主要是wtmp和utmp這2個檔案，分別位於/var/log/目錄和/var/run目錄，都是二進位制檔案，因此不能直接使用cat、tail等命令進行檢視，需要使用who、w、users和last這4個命令進行檢視，下面我簡單介紹一下如何使用這4個命令來檢視ssh使用者登入日誌：

who

這個命令主要用於列出當前已登入Linux系統的使用者，如下，輸出依次為使用者名稱、tty號、登入時間以及遠端連線主機IP：

如果指明瞭wtmp檔案，則who命令會列出以前所有登入記錄，如下，從上到下，時間越來越近，第一行為第一次登陸，最後一行為最後一次登陸：

w

這也是一個用於顯示當前已登入Linux系統使用者的命令，主要用於檢視utmp檔案，相比較who命令來說，它輸出的資訊更詳細，如下，包括使用者名稱、tty號、遠端連線地址、登陸時間、空閒時間以及當前使用者正在做的事（執行的命令）等：

users

這個命令也主要用於顯示出當前已登入Linux系統的使用者，一個會話對應一個使用者，如果一個使用者有多次會話，那麼就會顯示多次，如下：

last

這個命令主要用於顯示最近曾登入Linux系統的使用者，從上到下時間越來越久遠，最近的會顯示在最上面，最遠的會顯示在最下面，針對wtmp檔案，如下，輸出依次為使用者名稱稱、tty裝置號、遠端連結地址、登入時間、登出時間等，如果狀態一直為still，則說明當前使用者正在使用Linux系統：

至此，我們就完成了使用who、w、users和last這4個命令來檢視ssh使用者登入日誌。總的來說，整個過程非常簡單，只要你有一定的Linux基礎，熟悉一下上面的命令和說明，很快就能掌握的，可以參考一下這個文章，介紹的非常詳細，希望以上分享的內容能對你有所幫助吧，也歡迎大家評論、留言進行補充。