Linux 如何统计系统上各个用户登录（或者登出）记录出现的次数？

命令

1. last  | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c

复制代码

逐段解析

last

• 从 /var/log/wtmp（或者对应的系统登录日志）中读取并列出最近的登录、重启、关机等记录。
  
• 每行开头通常是用户名，例如：
  

1. alice    pts/0        192.168.1.5     Tue Jul 22 10:15   still logged in
2. bob      tty1                          Mon Jul 21 09:00 - 17:00  (08:00)
3. reboot   system boot  5.11.0-27-generic Tue Jul 22 09:00

复制代码

grep -v "^$"

• ^$ 匹配“空行”。
  
• -v 表示“取反”，也就是去掉所有空行。
  
• 这样做主要是防止后面处理时碰到空行导致多余的空白用户名。
  

awk '{ print $1 }'

• 将每一行按空白（空格或制表符）拆分字段，$1 就是第 1 个字段——用户名（或者特殊条目如 reboot、shutdown 等）。
  
• 输出后的结果是一列用户名，例如：
  

1. alice
2. alice
3. bob
4. reboot
5. alice

复制代码

sort -nr

• sort 用来对前一步的用户名列表进行排序。
  
• -n 按“数值”排序，-r 倒序（从大到小）。
  
• 虽然此处每行都是字符串用户名，不是纯数字，但 sort -nr 会尝试把整行当数字比较，遇到非数字时效果可能与 sort -r 接近（把“字母行”视作 0 排在后面）。
  
• 这里本意是先把相同用户名聚在一起（任何 sort 都可）；如果想按照出现次数倒序，应该在 uniq -c 后再加一次 sort -nr。
  

uniq -c

• uniq 用来把相邻的相同文本行合并，并加上出现次数。
  
• -c 选项会在每行前面打印该行重复的次数。
  
• 例如，将上面的用户名列表：
  

1. alice
2. alice
3. alice
4. bob
5. reboot

复制代码

经过 uniq -c 会得到：

1.   3 alice
2.   1 bob
3.   1 reboot

复制代码

整体作用

• 读取登录记录 → last
  
• 去掉空行 → grep -v "^$"
  
• 提取用户名 → awk '{print $1}'
  
• （先行）排序以便于计数 → sort
  
• 统计每个用户名出现的次数 → uniq -c
  

典型应用场景：

• 找出最活跃的用户
  
• 检测异常频繁登录（如暴力破解）
  
• 审计系统访问情况
  
• 统计服务器用户活动频率
  

最终输出形如：

1. 123 alice
2.   45 bob
3.   10 charlie
4.    2 reboot

复制代码

表示 alice 的登录/登出记录出现了 123 次，以此类推。可以进一步在输出后面再加一个 | sort -nr，就能让出现次数多的用户排在最上面，更直观地看到“谁最常登录”：

1. last | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

这样就完成了从登录记录到按频率排名的全流程统计。
对于大型系统，可以使用更高效的工具组合：

1. last -w | cut -d' ' -f1 | grep -v '^$' | sort | uniq -c | sort -nr

复制代码

• -w：显示完整用户名（避免截断）
  
• cut -d' ' -f1：比 awk 更轻量级的字段提取工具
  

实用场景：

安全审计：检测异常登录行为

1. # 检查root登录
2. last | grep -v "^$" | awk '$1=="root"{print}' | wc -l

复制代码

排除系统账户（仅统计真实用户）：

1. last | grep -v -E "^(reboot|wtmp|^$)" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

按时间段统计：

1. # 统计本月登录
2. last -s $(date +%Y-%m-01) | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！