# Linux怎么查看登录日志

## 前言

在Linux系统管理中，监控用户登录活动是安全运维的重要环节。无论是排查异常登录、审计用户行为，还是分析系统安全事件，查看登录日志都是必备技能。本文将详细介绍Linux系统中常用的登录日志文件、查看工具以及实用技巧。

---

## 一、Linux主要登录日志文件

Linux系统通过多个日志文件记录用户登录信息，以下是核心日志文件及其作用：

### 1. `/var/log/secure`（RHEL/CentOS系）
- **作用**：记录身份验证相关的日志，包括SSH登录、sudo提权等
- **查看命令**：
  ```bash
  sudo cat /var/log/secure
  # 或使用tail实时查看
  sudo tail -f /var/log/secure

2. /var/log/auth.log（Debian/Ubuntu系）

• 作用：功能与secure类似，记录所有认证日志
• 查看命令：

  
  sudo cat /var/log/auth.log
  

3. /var/log/wtmp

• 作用：二进制文件，记录所有成功登录和注销记录
• 查看工具：

  
  last -f /var/log/wtmp
  

4. /var/log/btmp

• 作用：记录失败的登录尝试（二进制格式）
• 查看工具：

  
  lastb -f /var/log/btmp
  

5. /var/log/lastlog

• 作用：记录每个用户最后一次登录时间
• 查看工具：

  
  lastlog
  

二、常用日志分析工具

1. last命令

• 功能：查看成功登录记录
• 示例：

  
  last -n 10  # 显示最近10条记录
  last -i     # 显示IP地址而非主机名
  

2. lastb命令

• 功能：查看失败登录尝试
• 示例：

  
  lastb -a    # 显示完整信息（包括IP）
  

3. who命令

• 功能：查看当前登录用户
• 示例：

  
  who -b      # 显示系统最近启动时间
  who -u      # 显示空闲时间
  

4. journalctl（systemd系统）

• 功能：查询systemd日志
• 示例：

  
  journalctl _SYSTEMD_UNIT=sshd.service --since "2023-08-01"
  

5. grep过滤

• 实用案例： “`bash

  查找特定IP的登录记录

  grep “192.168.1.100” /var/log/auth.log

# 查找root用户的登录 grep “root” /var/log/secure | grep “Accepted”

---

## 三、高级日志分析技巧

### 1. 时间范围筛选
```bash
# 使用sed筛选特定时间段
sed -n '/Aug 10 09:00:00/,/Aug 10 10:00:00/p' /var/log/auth.log

# 使用journalctl时间筛选
journalctl --since "2023-08-10 09:00:00" --until "2023-08-10 10:00:00"

2. 统计登录次数

# 统计IP登录次数
grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

3. 检测暴力破解

# 查看失败次数最多的IP
lastb | awk '{print $3}' | sort | uniq -c | sort -nr | head -n 10

4. 日志轮转处理

# 查看归档的日志文件
zcat /var/log/secure-20230801.gz | grep "Failed password"

四、日志配置优化建议

1. 增加日志详细程度

编辑/etc/ssh/sshd_config：

LogLevel VERBOSE

2. 日志保存时间

修改/etc/logrotate.conf：

rotate 30  # 保留30天日志

3. 集中式日志管理

建议使用： - ELK Stack（Elasticsearch+Logstash+Kibana） - Rsyslog/Syslog-ng转发日志

五、安全预警脚本示例

#!/bin/bash
# 监控异常登录告警脚本

FLED_THRESHOLD=5
ABNORMAL_IP=$(lastb | awk '{print $3}' | sort | uniq -c | awk -v th="$FLED_THRESHOLD" '$1>th{print $2}')

if [ -n "$ABNORMAL_IP" ]; then
    echo "警告：以下IP存在暴力破解行为："
    echo "$ABNORMAL_IP"
    # 可添加邮件或钉钉告警
fi

结语

掌握Linux登录日志分析是系统管理员的基础技能。通过合理配置日志系统、定期分析登录记录，可以有效提升系统安全性。建议结合自动化监控工具，实现实时安全预警。

注意：不同Linux发行版日志路径可能略有差异，请根据实际情况调整命令。 “`

这篇文章包含了： 1. 主要日志文件介绍 2. 常用分析命令详解 3. 高级分析技巧 4. 配置优化建议 5. 实用脚本示例 6. 格式化的代码块和章节结构

总字数约1500字，采用Markdown格式，适合技术文档发布。需要扩展具体章节内容时可增加更多命令示例或案例分析。