有關(guān)用戶登錄的信息記錄在 utmp(/var/run/utmp)咳促、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。

who敌厘、w 和 users 等命令通過 utmp(/var/run/utmp) 文件查詢當(dāng)前登錄用戶的信息糠亩。
last 和 ac 命令通過 wtmp(/var/log/wtmp) 文件查詢當(dāng)前與過去登錄系統(tǒng)的用戶的信息。
lastb 命令通過 btmp(/var/log/btmp) 文件查詢所有登錄系統(tǒng)失敗的用戶的信息鲁驶。
lastlog 命令通過 lastlog(/var/log/lastlog) 文件查詢用戶最后一次登錄的信息鉴裹。

1. who 命令：顯示當(dāng)前當(dāng)?shù)卿浀挠脩舻男畔?/li>

[root@webserver01 ~]# who
root     pts/0        2019-04-15 09:21 (10.10.40.63)
root     pts/1        2019-04-15 10:57 (10.10.40.125)

2. w 命令：顯示登錄的用戶及其當(dāng)前執(zhí)行的任務(wù)

[root@webserver01 ~]# w
 12:09:16 up  2:52,  2 users,  load average: 2.28, 1.86, 1.79
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    10.10.40.63      09:21    0.00s  0.09s  0.06s w
root     pts/1    10.10.40.125     10:57    1:12m  0.01s  0.01s -bash

3. users 命令：顯示當(dāng)前當(dāng)?shù)卿浀挠脩舻挠脩裘?/li>

[root@webserver01 ~]# users
root root

4. last 命令：顯示當(dāng)前與過去登錄系統(tǒng)的用戶的信息

[root@webserver01 ~]# last
root     pts/1        10.10.40.125     Mon Apr 15 10:57   still logged in
root     pts/0        10.10.40.63      Mon Apr 15 09:21   still logged in
reboot   system boot  2.6.32-431.el6.x Mon Apr 15 09:17 - 12:10  (02:53)
root     pts/0        10.10.40.63      Thu Apr 11 12:34 - 14:46  (02:11)
root     pts/0        10.10.40.63      Mon Apr  8 16:44 - 17:18  (00:34)
root     pts/0        10.10.40.125     Tue Mar 26 16:05 - 16:55  (00:50)
root     pts/0        10.10.40.63      Fri Mar  1 15:31 - 20:45 (1+05:14)
root     pts/0        10.10.40.63      Thu Feb 21 10:32 - 12:54  (02:21)
root     pts/0        10.8.8.88        Mon Feb  4 20:20 - 16:18 (9+19:58)
root     pts/0        10.10.40.63      Mon Jan 28 20:45 - 20:20 (6+23:35)
reboot   system boot  2.6.32-431.el6.x Sat Jan 26 12:29 - 12:10 (78+23:41)
root     pts/0        :0.0             Wed Jan 16 14:26 - crash (9+22:03)
root     pts/1        :0.0             Wed Jan 16 10:44 - crash (10+01:45)
root     pts/3        10.10.40.63      Tue Jan 15 17:08 - crash (10+19:21)
root     pts/2        10.10.40.63      Tue Jan 15 14:46 - 09:41 (2+18:55)
root     pts/2        10.10.40.63      Tue Jan 15 10:44 - 11:03  (00:19)

wtmp begins Thu Feb  8 03:10:46 2018

5. lastb 命令：顯示所有登錄系統(tǒng)失敗的用戶的信息

[root@webserver01 ~]# lastb
usuario  ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
usuario  ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
1234     ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
1234     ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)      

btmp begins Mon Apr  1 03:29:00 2019

6. lastlog 命令：顯示用戶最后一次登錄的信息

[root@webserver01 ~]# lastlog
用戶名           端口     來自             最后登陸時間
root             pts/1    10.10.40.125     一 4月 15 10:57:16 +0800 2019
bin                                        **從未登錄過**

7. ac 命令：顯示用戶連接時間的統(tǒng)計(jì)數(shù)據(jù)

• a) 顯示每天的總的連接時間

[root@webserver01 ~]# ac -d
Mar  7  total       10.50
Mar  8  total       15.42
Mar  9  total       24.04
Mar 12  total       87.31
Mar 13  total       32.49
Mar 16  total       89.02
Mar 18  total       98.65
Mar 19  total       54.44
Mar 20  total       50.33
Mar 21  total       56.81
Mar 24  total      144.77
Mar 25  total       49.88
Mar 26  total       52.27
Mar 27  total       57.06

• b) 顯示每個用戶的總的連接時間

[root@webserver01 ~]# ac -p
        root                              5362.90
        total     8859.28