システムへのログイン履歴を見る

lastコマンドで最近ログインしたアカウントを確認することができます。

# last
root     pts/0        XXXXXXXXXXXXXXXX Mon Dec 31 12:50   still logged in
reboot   system boot  XXXXXXXXXXXXXXXX Sun Nov 25 05:07         (36+07:42)
root     pts/0        XXXXXXXXXXXXXXXX Tue Nov  6 23:07 - 23:32  (00:25)
root     pts/0        XXXXXXXXXXXXXXXX Mon Nov  5 00:48 - 00:53  (00:05)
root     pts/0        XXXXXXXXXXXXXXXX Sun Nov  4 21:36 - 21:59  (00:22)
root     pts/0        XXXXXXXXXXXXXXXX Sun Oct 28 19:43 - 20:15  (00:31)
root     pts/0        XXXXXXXXXXXXXXXX Mon Jul 23 23:52 - 00:05  (00:12)
root     pts/0        XXXXXXXXXXXXXXXX Mon Jul 23 23:34 - 23:48  (00:13)
root     pts/0        XXXXXXXXXXXXXXXX Sun Jul 22 23:27 - 23:30  (00:02)
root     pts/0        XXXXXXXXXXXXXXXX Sun Jul 22 22:13 - 22:13  (00:00)

 

ログイン履歴は、/var/run/utmp、/var/log/wtmpファイルに記録されています。これらのファイルをwhoコマンドで参照してもログイン履歴を確認できます。なお、これらのファイルはバイナリファイルなので、lessコマンドやcatコマンドなどで内容を参照しても読むことができません。

/var/log/wtmpファイルには過去のログイン履歴が記録されています。

# who /var/log/wtmp
root     pts/1        2011-10-30 23:46 (XXXXXXXXXXXXXXXXXX.ne.jp)
root     pts/0        2011-11-08 11:10 (XXXXXXXXXXXXXXXXXX.ne.jp)
root     pts/0        2011-11-09 19:23 (XXXXXXXXXXXXXXXXXX.ne.jp)
root     pts/0        2011-11-09 19:59 (XXXXXXXXXXXXXXXXXX.ne.jp)

 

/var/log/wtmpファイルには現在のログイン状態が記録されています。

# who /var/run/utmp
root     pts/0        2012-12-31 12:50 (XXXXXXXXXXXXX.au-net.ne.jp)

 

[対象]
CentOS 5.x