Команда Linux last

Команда last — утилита командной строки Linux, показывающая последние входы в систему пользователей и терминалов.

Утилита проверяет файл wtmp, содержащий записи о всех входах и выходах из системы. Это необходимо для отслеживания активности пользователей и контроля системы безопасности.

Файл wtmp в большинстве дистрибутивов находится в /var/log/.

Содержание

• Синтаксис
• Опции
• Формат вывода
• Примеры использования команды last
  • Вывод без опций
  • Определённый пользователь
  • Число выводимых строк
  • Входившие в систему
• Заключение

Синтаксис

last [options] [<username>...] [<tty>...]

Опции

-<number>

Выводимое число строк

-a, --hostlast

Отображать имена хостов в последней колонке

-d, --dns

Переводить IP-адрес обратно в имя хоста

-f, --file <file>

Использовать указанный файл вместо /var/log/wtmp

-F, --fulltimes

Отображать полное время и дату входа и выхода

-i, --ip

Отображать IP-номера в виде цифр и точек

-n, --limit <number>

Количество отображаемых строк

-R, --nohostname

Не отображать поле имени хоста

-s, --since <time>

Отображать строки начиная с указанного времени

-t, --until <time>

Отображать строки до указанного времени

-p, --present <time>

Показывать, кто присутствовал в указанное время

-w, --fullnames

Отображать полные имена пользователей и доменов

-x, --system

Отображать записи о завершении работы системы и изменения уровня запуска

    --time-format <format>

Показывать временные метки в указанном формате: notime|short|full|iso

Формат вывода

Вывод осуществляется в табличной форме, где строки содержат следующие столбцы:

Имя пользователя

При перезагрузке или выключении отображаются специальные пользователи reboot и shutdown

Pts

Терминал, на котором состоялась сессия. :0 обычно означает, что пользователь входил в среду рабочего стола

IP

IP-адрес или имя хоста, с которого вошел пользователь

Время

Время начала и окончания сеанса

Продолжительность

Если сеанс все еще активен или пользователь не вышел из системы, последний покажет информацию об этом вместо продолжительности

Примеры использования команды last

Вывод без опций

При выводе без опций информация может быть избыточна:

mensh@li1398-20:~$ last
mensh    pts/0        5.183.230.110    Sun Jul 17 15:02   still logged in
mensh    pts/0        5.183.230.110    Sun Jul 17 06:27 - 06:28  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 09:39 - 09:39  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 05:41 - 05:41  (00:00)
mensh    pts/0        5.183.230.110    Fri Jul 15 20:39 - 21:06  (00:26)
...
root     pts/0        77.77.3.137      Tue Sep 21 05:23 - 05:24  (00:00)
mensh    pts/0        77.77.3.137      Tue Sep 21 05:20 - 05:21  (00:01)
root     pts/0        77.77.3.137      Tue Sep 21 04:57 - 05:17  (00:19)
root     pts/0        77.77.3.137      Tue Sep 21 04:51 - 04:56  (00:05)
root     pts/0        77.77.3.137      Mon Sep 20 17:01 - 17:02  (00:00)
reboot   system boot  5.4.0-81-generic Mon Sep 20 16:49   still running

wtmp begins Mon Sep 20 16:49:31 2021

Определённый пользователь

Для ограничения вывода определённым пользователем (username) или pts команда last исполняется с аргументом, в качестве которого используется username или pts:

mensh@li1398-20:~$ last mensh
mensh    pts/0        5.183.230.110    Sun Jul 17 15:02   still logged in
mensh    pts/0        5.183.230.110    Sun Jul 17 06:27 - 06:28  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 09:39 - 09:39  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 05:41 - 05:41  (00:00)
...
mensh    pts/0        77.77.3.137      Tue Sep 21 07:16 - 07:17  (00:00)
mensh    pts/0        77.77.3.137      Tue Sep 21 07:12 - 07:13  (00:00)
mensh    pts/0        77.77.3.137      Tue Sep 21 07:00 - 07:01  (00:01)
mensh    pts/0        77.77.3.137      Tue Sep 21 05:20 - 05:21  (00:01)

wtmp begins Mon Sep 20 16:49:31 2021

Число выводимых строк

Для ограничения числа выводимых строк указывается нужное число строк, перед которым ставится -:

mensh@li1398-20:~$ last -10
mensh    pts/0        5.183.230.110    Sun Jul 17 15:02   still logged in
mensh    pts/0        5.183.230.110    Sun Jul 17 07:34 - 07:35  (00:00)
mensh    pts/0        5.183.230.110    Sun Jul 17 06:27 - 06:28  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 09:39 - 09:39  (00:00)
mensh    pts/0        5.183.230.110    Sat Jul 16 05:41 - 05:41  (00:00)
mensh    pts/0        5.183.230.110    Fri Jul 15 20:39 - 21:06  (00:26)
mensh    pts/0        5.183.230.110    Fri Jul 15 15:52 - 15:56  (00:03)
mensh    pts/0        5.183.230.110    Fri Jul 15 07:09 - 07:20  (00:10)
mensh    pts/0        5.183.230.110    Fri Jul 15 05:52 - 05:52  (00:00)
mensh    pts/0        5.183.230.110    Fri Jul 15 05:50 - 05:51  (00:00)

wtmp begins Mon Sep 20 16:49:31 2021

Входившие в систему

Для выяснения того, кто входил в систему в определённый день используется опция -p:

mensh@li1398-20:~$ last -p 2022-07-17
...

Заключение

Использовать в Linux команду last совсем несложно. Тем, кто администрирует многопользовательскую систему она просто необходима.