登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 安全 Linux 如何统计系统上各个用户登录(或者登出)记录出现 ...

Linux 如何统计系统上各个用户登录(或者登出)记录出现的次数?

柴古香 2025-7-27 01:11:10
程序园永久vip申请,500美金$,无限下载程序园所有程序/软件/数据/等
命令
  1. last  | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c
复制代码
逐段解析

last


  • 从 /var/log/wtmp(或者对应的系统登录日志)中读取并列出最近的登录、重启、关机等记录。
  • 每行开头通常是用户名,例如:
  1. alice    pts/0        192.168.1.5     Tue Jul 22 10:15   still logged in
  2. bob      tty1                          Mon Jul 21 09:00 - 17:00  (08:00)
  3. reboot   system boot  5.11.0-27-generic Tue Jul 22 09:00
复制代码
grep -v "^$"


  • ^$ 匹配“空行”。
  • -v 表示“取反”,也就是去掉所有空行。
  • 这样做主要是防止后面处理时碰到空行导致多余的空白用户名。
awk '{ print $1 }'


  • 将每一行按空白(空格或制表符)拆分字段,$1 就是第 1 个字段——用户名(或者特殊条目如 reboot、shutdown 等)。
  • 输出后的结果是一列用户名,例如:
  1. alice
  2. alice
  3. bob
  4. reboot
  5. alice
复制代码
sort -nr


  • sort 用来对前一步的用户名列表进行排序。
  • -n 按“数值”排序,-r 倒序(从大到小)。
  • 虽然此处每行都是字符串用户名,不是纯数字,但 sort -nr 会尝试把整行当数字比较,遇到非数字时效果可能与 sort -r 接近(把“字母行”视作 0 排在后面)。
  • 这里本意是先把相同用户名聚在一起(任何 sort 都可);如果想按照出现次数倒序,应该在 uniq -c 后再加一次 sort -nr。
uniq -c


  • uniq 用来把相邻的相同文本行合并,并加上出现次数。
  • -c 选项会在每行前面打印该行重复的次数。
  • 例如,将上面的用户名列表:
  1. alice
  2. alice
  3. alice
  4. bob
  5. reboot
复制代码
经过 uniq -c 会得到:
  1.   3 alice
  2.   1 bob
  3.   1 reboot
复制代码
整体作用

  • 读取登录记录 → last
  • 去掉空行 → grep -v "^$"
  • 提取用户名 → awk '{print $1}'
  • (先行)排序以便于计数 → sort
  • 统计每个用户名出现的次数 → uniq -c
典型应用场景:

  • 找出最活跃的用户
  • 检测异常频繁登录(如暴力破解)
  • 审计系统访问情况
  • 统计服务器用户活动频率
最终输出形如:
  1. 123 alice
  2.   45 bob
  3.   10 charlie
  4.    2 reboot
复制代码
表示 alice 的登录/登出记录出现了 123 次,以此类推。可以进一步在输出后面再加一个 | sort -nr,就能让出现次数多的用户排在最上面,更直观地看到“谁最常登录”:
  1. last | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr
复制代码
这样就完成了从登录记录到按频率排名的全流程统计。
对于大型系统,可以使用更高效的工具组合:
  1. last -w | cut -d' ' -f1 | grep -v '^$' | sort | uniq -c | sort -nr
复制代码

  • -w:显示完整用户名(避免截断)
  • cut -d' ' -f1:比 awk 更轻量级的字段提取工具
实用场景:

安全审计:检测异常登录行为
  1. # 检查root登录
  2. last | grep -v "^$" | awk '$1=="root"{print}' | wc -l
复制代码
排除系统账户(仅统计真实用户):
  1. last | grep -v -E "^(reboot|wtmp|^$)" | awk '{print $1}' | sort | uniq -c | sort -nr
复制代码
按时间段统计:
  1. # 统计本月登录
  2. last -s $(date +%Y-%m-01) | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr
复制代码
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
Linux如何统计系统各个

使用道具 举报

相关推荐
乃阕饯
2025-10-15 04:38:24

举报

程序园永久vip申请,500美金$,无限下载程序园所有程序/软件/数据/等
过来提前占个楼
钦娅芬
2025-10-27 00:46:16

举报

猛犸象科技工作室:网站开发,备案域名,渗透,服务器出租,DDOS/CC攻击,TG加粉引流
感谢发布原创作品,程序园因你更精彩
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
柴古香
2025-10-27 00:46:16

0

粉丝关注

22

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫