last命令用于查看Linux用户登录历史，读取/var/log/wtmp文件。1. 查看指定用户登录记录：执行last username（如last alice）可审计特定账户活动；2. 限制输出行数：使用last -n 10或last -10避免刷屏，便于脚本处理；3. 识别远程登录来源：pts/0后跟随IP表示SSH登录，last -i强制显示IP地址以提升安全监控效率；4. 检查系统重启与关机记录：last reboot显示启动历史，reboot和shutdown条目帮助判断宕机或维护情况。结合管道与grep（如last | grep "ssh"）可筛选登录方式，是运维中高效的安全分析工具。

last命令是Linux系统中用于查看用户登录历史的强大工具，它读取/var/log/wtmp文件并以可读格式展示登录记录。掌握一些实用技巧能帮助系统管理员快速排查问题、分析安全事件或了解系统使用情况。

1. 查看指定用户的登录记录

如果只想查看某个用户的登录历史，可以直接在last后跟用户名：

• last username —— 显示该用户的所有登录记录
• 例如：last alice 可查看用户alice的登录时间、来源IP和登出时间

这在审计特定账户活动时非常有用，比如怀疑账户异常登录时快速定位时间点。

2. 限制输出行数避免刷屏

默认情况下last会输出大量记录，可通过-n参数控制显示条目数量：

• last -n 10 或简写为 last -10 —— 仅显示最近10条记录
• 适合快速查看最新登录情况，尤其在脚本中处理数据时防止输出过多

3. 识别远程登录来源（IP地址）

last会显示登录终端和来源主机名或IP：

• 看到类似 pts/0 192.168.1.100 的条目表示SSH远程登录
• 若显示主机名而非IP，可用 last -i 强制显示IP地址（忽略反向DNS解析）
• 有助于识别潜在的外部访问行为，提升安全监控效率

4. 检查系统重启与关机记录

last不仅记录用户登录，还保存系统重启和关机事件：

• reboot 条目显示每次系统启动时间
• shutdown 条目对应关机操作
• 通过这些信息可以判断系统是否意外宕机或计划内维护

例如输入last reboot即可专门查看系统启动历史。

基本上就这些。灵活使用last配合管道和grep，比如last | grep "ssh"，还能进一步筛选特定类型的登录方式。它是日常运维中不可或缺的小而精工具。