who命令

输出信息包括 用户名，终端类型，登录日期，访问IP -H 打印列标题 -b 查看上次启动时间

who [-H|-b]
who [-H|-b] /var/log/wtmp

查看命令历史

• 每个用户都有一份命令历史记录
• 查看$HOME/.bash_history
• 或者在终端输入： history

last命令

• 查看用户登录历史
• 命令会读取 /var/log/wtmp文件；
• /var/log/btmp可以显示远程登陆信息。
• last默认打印所有用户的登陆信息。
• 如果想打印某个用户的登陆信息，可以使用
• last 用户名

选项：

• （1）-x：显示系统开关机以及执行等级信息
• （2）-a：将登陆ip显示在最后一行
• （3）-f ：读取特定文件，可以选择 -f /var/log/btmp文件
• （4）-d：将IP地址转换为主机名
• （5）-n：设置列出名单的显示列数
• （6）-t：查看指定时间的用户登录历史

lastlog命令

查看所有用户最近一次登录历史

命令将读取/var/log/lastlog文件；用户排列顺序按照/etc/passwd中的顺序

选项：

• （1） -u：查看某个用户的最后一次登陆历史
• （2） -t：查看最近几天之内的用户登录历史
• （3） -b：查看指定天数之前的用户登录历史

ac命令

根据/var/log/wtmp文件中的登陆和退出时间报告用户连接的时间（小时），默认输出报告总时间

• （1）-p：显示每个用户的连接时间
• （2）-d：显示每天的连接时间
• （3）-y：显示年份，和-d配合使用