Si está administrando un sistema multiusuario, a menudo necesitará saber quién, cuándo y desde dónde inició sesión en la máquina.
last es una utilidad de línea de comandos que muestra información sobre las últimas sesiones de inicio de sesión de los usuarios del sistema. Es muy útil cuando necesita realizar un seguimiento de la actividad del usuario o investigar una posible brecha de seguridad.
Este artículo explica cómo auditar quién inició sesión en el sistema usando el last comando.
Cómo usar el last Comando #
La sintaxis para el last El comando es el siguiente:
last [OPTIONS] [USER] [<TTY>...]
Cada vez que un usuario inicia sesión en el sistema, se escribe un registro para esa sesión en el /var/log/wtmp expediente. last lee el archivo wtmp archivo e imprime información sobre los inicios y cierres de sesión de los usuarios. Los registros se imprimen en orden de tiempo inverso, comenzando por los más recientes.
Cuando last se invoca sin ninguna opción o argumento, la salida se parece a esto:
mark pts/0 10.10.0.7 Fri Feb 21 21:23 still logged in
mark pts/0 10.10.0.7 Tue Feb 18 22:34 - 00:05 (01:31)
lisa :0 :0 Thu Feb 13 09:19 gone - no logout
reboot system boot 4.15.0-74-g Fri Jan 24 08:03 - 08:03 (00:00)
...
Cada línea de salida contiene las siguientes columnas de izquierda a derecha:
- El nombre de usuario. Cuando el sistema se reinicia o se apaga,
lastmuestra los usuarios especialesrebootyshutdown. - El tty en el que tuvo lugar la sesión.
:0normalmente significa que el usuario estaba iniciando sesión en un entorno de escritorio. - La dirección IP o el nombre de host desde el que el usuario inició sesión.
- Las horas de inicio y finalización de la sesión.
- La duración de la sesión. Si la sesión aún está activa o el usuario no se desconectó, last mostrará información sobre eso en lugar de la duración.
Para restringir la salida a un usuario o tty específico, pase el nombre de usuario o tty como argumento al last comando:
last marklast pts/0
También puede especificar varios nombres de usuario y ttys como argumentos:
last mark root pts/0last Opciones de comando #
last acepta varias opciones que le permiten limitar, formatear y filtrar la salida. En esta sección, cubriremos los más comunes.
Para especificar el número de líneas que desea que se impriman en la línea de comando, pase el número precedido por un solo guión a last . Por ejemplo, para imprimir solo las últimas diez sesiones de inicio de sesión, escribiría:
last -10
Con el -p (--present ), puede averiguar quién inició sesión en el sistema en una fecha específica.
last -p 2020-01-15
Utilice el -s (--since ) y -t (--until ) opción para decir last para mostrar las líneas desde o hasta la hora especificada. Estas dos opciones a menudo se usan juntas para definir un intervalo de tiempo durante el cual desea que se recupere la información. Por ejemplo, para mostrar los registros de inicio de sesión del 13 al 18 de febrero, ejecutaría:
last -s 2020-02-13 -u 2020-02-18
El tiempo pasado al -p , -s y -t las opciones se pueden especificar en los siguientes formatos:
YYYYMMDDhhmmss
YYYY-MM-DD hh:mm:ss
YYYY-MM-DD hh:mm (seconds will be set to 00)
YYYY-MM-DD (time will be set to 00:00:00)
hh:mm:ss (date will be set to today)
hh:mm (date will be set to today, seconds to 00)
now
yesterday (time is set to 00:00:00)
today (time is set to 00:00:00)
tomorrow (time is set to 00:00:00)
+5min
-5days
Por defecto, last no muestra los segundos y el año. Usa el -F , --fulltimes opción para ver las horas y fechas completas de inicio y cierre de sesión:
last -F
El -i (--ip ) opción fuerza last para mostrar siempre la dirección IP y -d (--dns ) para mostrar nombres de host:
last -iConclusión #
El last El comando imprime información sobre las horas de inicio y cierre de sesión de los usuarios. Para obtener más información sobre el comando, escriba man last en tu terminal.
Si tiene alguna pregunta, deje un comentario a continuación.