linux下怎麼查看ssh的用户登錄日誌

ssh用户的登錄日誌主要是wtmp和utmp這2個文件，分別位於/var/log/目錄和/var/run目錄，都是二進制文件，因此不能直接使用cat、tail等命令進行查看，需要使用who、w、users和last這4個命令進行查看，下面我簡單介紹一下如何使用這4個命令來查看ssh用户登錄日誌：

who

這個命令主要用於列出當前已登錄Linux系統的用户，如下，輸出依次為用户名、tty號、登錄時間以及遠程連接主機IP：

如果指明瞭wtmp文件，則who命令會列出以前所有登錄記錄，如下，從上到下，時間越來越近，第一行為第一次登陸，最後一行為最後一次登陸：

w

這也是一個用於顯示當前已登錄Linux系統用户的命令，主要用於查看utmp文件，相比較who命令來説，它輸出的信息更詳細，如下，包括用户名、tty號、遠程連接地址、登陸時間、空閒時間以及當前用户正在做的事（執行的命令）等：

users

這個命令也主要用於顯示出當前已登錄Linux系統的用户，一個會話對應一個用户，如果一個用户有多次會話，那麼就會顯示多次，如下：

last

這個命令主要用於顯示最近曾登錄Linux系統的用户，從上到下時間越來越久遠，最近的會顯示在最上面，最遠的會顯示在最下面，針對wtmp文件，如下，輸出依次為用户名稱、tty設備號、遠程鏈接地址、登錄時間、登出時間等，如果狀態一直為still，則説明當前用户正在使用Linux系統：

至此，我們就完成了使用who、w、users和last這4個命令來查看ssh用户登錄日誌。總的來説，整個過程非常簡單，只要你有一定的Linux基礎，熟悉一下上面的命令和説明，很快就能掌握的，可以參考一下這個文章，介紹的非常詳細，希望以上分享的內容能對你有所幫助吧，也歡迎大家評論、留言進行補充。