linux last login
ถ้าหากต้องการตรวจสอบรายละเอียดของการ login เข้าสู่ระบบ คุณจะนึกถึงอะไรเป็นอันดับแรก หลายคนคงตอบว่าให้เข้าไปดูที่ “/var/log/secure” สิ เพราะว่ามันเก็บประวัติการ login ทั้งหมดเอาไว้ แต่มันก็ยุงยากเพราะว่า log ใน “/var/log/secure” นั้นเก็บข้อมูลเยอะแยะไปหมดจะดูทีก็ต้อง grep เอา แต่ถ้าได้อ่านบทความนี้ก็จะทำให้คุณไม่รู้สึกยุ่งยากในการดูประวัติการเข้าใช้งานอีกต่อไป เพราะเพียงรันคำสั่ง “last” คำสั่งเดียว ประวัติการ login และ restart เครื่องก็แสดงออกมาทันที

คำสั่ง “last” เป็นคำสั่งทำให้ชีวิตดูง่ายขึ้นเยอะ เพราะว่ามันจะแสดงประวัติการเข้าใช้งานพร้อมทั้งเวลาพร้อมทั้งแถมประวัติการ restart มาอีกต่างหาก โดยข้อมูลทั้งหมดที่คำสั่งนี้จะนำมาแสดงจะเก็บอยู่ที่ “/var/log/wtmp” ดังนั้นถ้าเรารันคำสั่ง “last” แล้วไม่แสดงข้อมูลอะไรเลย ให้ไปตรวจสอบว่ามีไฟล์ “/var/log/wtmp” นี้หรือยัง นอกจากนี้แล้วคำสั่งนี้ยังสามารถรันจาก user อื่นที่ไม่ใช้ root ได้อีกด้วย

จากคำสั่ง “last” ที่เอาไว้ดูประวัติการเข้าใช้งาน ใน linux ก็ยังมีคำสั่ง “lastb” ซึ่งจะแสดงข้อมูลของ bad login attempts โดยข้อมูลจะเก็บอยู่ที่ “/var/log/btmp”

ตัวอย่างการใช้คำสั่ง “last” และ “lastb“:

แสดงรายชื่อ user ที่ login เข้ามาและประวัติการ restart ระบบ
[shell][root@ezylinux ~]# last
root pts/1 192.168.1.103 Tue Aug 16 08:25 still logged in
tum pts/0 :0.0 Tue Aug 16 08:22 – 08:26 (00:03)
tum tty1 :0 Sun Aug 14 08:49 – down (02:27)
reboot system boot 2.6.32-71.el6.x8 Sun Aug 14 08:47 – 11:16 (02:29)
root pts/0 :0.0 Sat Jul 30 04:06 – down (02:40)
tum tty1 :0 Sat Jul 30 04:05 – down (02:41)
tum tty1 :0 Tue Jul 5 09:49 – 10:25 (00:35)
reboot system boot 2.6.32-71.el6.x8 Tue Jul 5 09:49 – 10:25 (00:36)
tum pts/0 :0.0 Tue Jul 5 04:27 – 04:30 (00:03)
root tty1 :0 Mon Jul 4 21:47 – down (06:43)
tum tty1 :0 Sat Apr 2 00:05 – 00:14 (00:09)
tum pts/0 :0.0 Tue Mar 22 09:18 – 09:19 (00:00)
tum tty7 :0 Tue Mar 22 09:17 – 09:19 (00:01)
reboot system boot 2.6.32-71.el6.x8 Tue Mar 22 16:13 – 09:19 (-6:-53)

wtmp begins Tue Mar 22 16:13:25 2011[/shell]

แสดงรายชื่อเฉพาะ user root ที่ login เข้าสู่ระบบ
[shell][root@localhost ~]# last root
root pts/1 192.168.1.103 Tue Aug 16 08:25 still logged in
root pts/1 192.168.79.1 Sat Jun 11 08:34 – 10:20 (01:46)

wtmp begins Tue Mar 22 16:13:25 2011[/shell]

แสดงเฉพาะประวัติการ restart ระบบ

[shell][root@localhost ~]# last reboot
reboot system boot 2.6.32-71.el6.x8 Sun Aug 14 08:47 – 11:16 (02:29)
reboot system boot 2.6.32-71.el6.x8 Sat Jul 30 03:49 – 06:47 (02:57)
reboot system boot 2.6.32-71.el6.x8 Sat Jun 11 07:07 – 10:37 (03:29)
reboot system boot 2.6.32-71.el6.x8 Sat Apr 2 00:03 – 00:14 (00:11)
reboot system boot 2.6.32-71.el6.x8 Tue Mar 22 09:32 – 00:14 (10+14:42)
reboot system boot 2.6.32-71.el6.x8 Tue Mar 22 16:13 – 09:19 (-6:-53)

wtmp begins Tue Mar 22 16:13:25 2011[/shell]

แสดงรายชื่อ user ที่พยายาม login เข้าสู่ระบบ
[shell][root@ezylinux ~]# lastb
tum tty7 :0 Tue Aug 16 08:26 – 08:26 (00:00)
tum tty7 :0 Tue Aug 16 08:26 – 08:26 (00:00)
root ssh:notty 192.168.1.10 Tue Aug 16 08:25 – 08:25 (00:00)
tum ssh:notty 192.168.1.3 Tue Aug 16 08:25 – 08:25 (00:00)
root ssh:notty 192.168.1.55 Tue Aug 16 08:25 – 08:25 (00:00)
tum ssh:notty 192.168.1.101 Tue Aug 16 08:25 – 08:25 (00:00)

btmp begins Tue Aug 16 08:25:42 2011[/shell]

ถ้าต้องการข้อมูลเพิ่มเติมสามารถใช้คำสั่ง
[shell][root@ezylinux ~]# man last[/shell]

More information: Linux last command – Show listing of last logged in users