在 Ubuntu 系统中,你可以使用多种命令行工具来查看登录日志。最常用的工具是 last 和 lastb 命令,它们分别显示成功和失败的登录尝试。以下是一些常用的命令和说明:
1、查看成功登录日志。
last
这个命令会显示系统上的所有成功登录会话,包括用户名、终端、登录时间、注销时间以及来源 IP 地址(如果适用)。
2、查看失败登录尝试。
sudo lastb
注意:lastb 命令需要超级用户权限,因此你可能需要在命令前加上 sudo。这个命令会显示系统上的所有失败登录尝试。
3、查看当前登录用户。
who
这个命令会显示当前登录到系统的所有用户及其活动终端和登录时间。
4、查看系统日志。
登录信息也会被记录在系统日志文件中,通常位于 /var/log 目录下。你可以使用 grep 命令来过滤这些日志文件。例如,查看 auth.log 文件中与身份验证相关的日志:
sudo grep "sshd" /var/log/auth.log
或者更通用的方式:
sudo grep "Accepted" /var/log/auth.log # 查看成功登录
sudo grep "Failed" /var/log/auth.log # 查看失败登录
5、使用 journalctl 命令。
如果你的系统使用 systemd(大多数现代 Ubuntu 发行版都使用),你可以使用 journalctl 命令来查看日志。例如,查看与 SSH 相关的日志:
sudo journalctl -u ssh
或者查看特定时间范围内的日志:
sudo journalctl --since "2023-10-01" --until "2023-10-02"
你可以结合 grep 使用 journalctl 来过滤特定类型的消息,例如:
sudo journalctl | grep "sshd"