• Главная
• Новости
• Статьи
• Карта сайта
• Поиск
• Контакт
• Рекомендации

Команда last

Команда last сообщает, когда тот или иной пользователь входил в систему, с какого терминала и как долго велась работа в системе. Команда вызывается с опцией -10, которая ограничивает вывод десятью последними записями. По умолчанию отображается вся информация о соединениях и смене уровней выполнения, содержащаяся в файле /var/log/wtmp.

Отчет команды last

last -10

tary ttyp3 roadrunner Fri Feb 26 09: : 14 - 11; : 46 (02:32)

tary ttyp2 roadrunner Fri Feb 26 08: 21 - 09: : 57 (01:30)

tary ttyp3 roadrunner Thu Feb 25 18: : 55 - 18: : 58 (00:02)

bill ttyp4 underdog Thu Feb 25 18: :54 - 18: : 55 (00:00)

tary ttyl Th'u Feb 25 18: : 27 - 18: : 33 (00:05)

joe ttyp3 roadrunner Thu Feb 25 13: : 45 - 13: : 45 (00:00)

guest ttyp3 roadrunner Thu Feb 25 13: : 44 - 13: : 45 (00:01)

guest ttyp3 roadrunner Thu Feb 25 09: : 53 - 10: : 15 (00:22)

tary ttypl roadrunner Wed Feb 24 15: :63 - 12: : 16 (1+20:22)

Из листинга видно, что пользователь tary неоднократно регистрировалась в системе с компьютера roadrunner. Последняя запись листинга была сделана в среду, 24 февраля, в 15:53. Она свидетельствует о том, что Мэри оставалась в системе в течение одного дня, двадцати часов и двадцати двух минут. Запись, в которой не приведено имя компьютера, означает локальную регистрацию в системе (через консоль ttyl).

С точки зрения системной безопасности ценность команды last в том, что она позволяет максимально оперативно узнать, кто и когда работал в системе. Можно легко выявить необычные и странные факты, которые не всегда удается установить путем просмотра журнальных файлов. Например, почему Мэри так долго работала в системе 24 февраля? Или почему пользователь bill зарегистрировался в системе с компьютера underdog, да еще после шести вечера (зачем он это сделал? действительно ли это был Билл?)?

При наличии опции -х команда last сообщает об изменениях уровня выполнения системы. В данном примере мы видим, что смена уровня выполнения имела место 17 и 18 февраля. Восемнадцатого числа система выключалась на 7 минут. Обратите внимание на записи о пользователях joe и root. Они находились в системе в момент ее выключения, поэтому для них не было сделано записей о выходе из системы.

Новостной блок