システムへのログイン履歴を見る
lastコマンドで最近ログインしたアカウントを確認することができます。
# last root pts/0 XXXXXXXXXXXXXXXX Mon Dec 31 12:50 still logged in reboot system boot XXXXXXXXXXXXXXXX Sun Nov 25 05:07 (36+07:42) root pts/0 XXXXXXXXXXXXXXXX Tue Nov 6 23:07 - 23:32 (00:25) root pts/0 XXXXXXXXXXXXXXXX Mon Nov 5 00:48 - 00:53 (00:05) root pts/0 XXXXXXXXXXXXXXXX Sun Nov 4 21:36 - 21:59 (00:22) root pts/0 XXXXXXXXXXXXXXXX Sun Oct 28 19:43 - 20:15 (00:31) root pts/0 XXXXXXXXXXXXXXXX Mon Jul 23 23:52 - 00:05 (00:12) root pts/0 XXXXXXXXXXXXXXXX Mon Jul 23 23:34 - 23:48 (00:13) root pts/0 XXXXXXXXXXXXXXXX Sun Jul 22 23:27 - 23:30 (00:02) root pts/0 XXXXXXXXXXXXXXXX Sun Jul 22 22:13 - 22:13 (00:00)
ログイン履歴は、/var/run/utmp、/var/log/wtmpファイルに記録されています。これらのファイルをwhoコマンドで参照してもログイン履歴を確認できます。なお、これらのファイルはバイナリファイルなので、lessコマンドやcatコマンドなどで内容を参照しても読むことができません。
/var/log/wtmpファイルには過去のログイン履歴が記録されています。
# who /var/log/wtmp root pts/1 2011-10-30 23:46 (XXXXXXXXXXXXXXXXXX.ne.jp) root pts/0 2011-11-08 11:10 (XXXXXXXXXXXXXXXXXX.ne.jp) root pts/0 2011-11-09 19:23 (XXXXXXXXXXXXXXXXXX.ne.jp) root pts/0 2011-11-09 19:59 (XXXXXXXXXXXXXXXXXX.ne.jp)
/var/log/wtmpファイルには現在のログイン状態が記録されています。
# who /var/run/utmp root pts/0 2012-12-31 12:50 (XXXXXXXXXXXXX.au-net.ne.jp)
[対象]
CentOS 5.x