Linux内置的审计跟踪工具：last命令

　　如果你是一个服务器管理员，你或许知道你要保护你的服务器的话，不仅是从外部，还要从内部保护。Linux有一个内置工具来看到最后登陆服务器的用户，可以帮助你保护服务器。

　　这个命令是last。它对于追踪非常有用。让我们来看一下last可以为你做些什么。

　　last命令的功能是什么

　　last显示的是自/var/log/wtmp文件创建起所有登录(和登出)的用户。这个文件是二进制文件，它不能被文本编辑器浏览，比如vi、Joe或者其他软件。这是非常有用的，因为用户(或者root)不能像他们希望的那样修改这个文件。

　　last会给出所有已登录用户的用户名、tty、IP地址(如果用户是远程连接的话)、日期-时间和用户已经登录的时间。

　　如何运行last

　　你只要在控制台中输入last即可。这是个例子：

　　$ last

　　leni pts/0 10.0.76.162 Mon Dec 2 12:32 - 13:25 (00:53)

　　pungki tty1 Mon Dec 2 09:31 still logged in

　　reboot system boot 2.6.32-358.23.2 Mon Dec 2 09:20 - 13:25 (04:05)

　　这里是如何阅读last信息：

　　第一列告诉谁是用户

　　第二列给出了用户如何连接的信息

　　pts/0 (伪终端) 意味着从诸如SSH或telnet的远程连接的用户

　　tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户

　　除了重启活动,所有状态会在启动时显示

　　第三列显示用户来自哪里。如果用户来自于远程计算机，你会看到一个主机名或者IP地址。如果你看见:0.0 或者什么都没有，这意味着用户通过本地终端连接。除了重启活动，内核版本会显示在状态中。

　　剩下的列显示日志活动发生在何时。括号中的数字告诉我们连接持续了多少小时和分钟。