last与lastb命令 读取的日志文件

在linux系统中，last与lastb命令用来列出目前与过去登录系统的用户相关信息。指令英文原义：

last, lastb - show listing of last logged in users

单独执行last指令时，它会读取位于/var/log/wtmp的文件，并把该给文件的内容记录的登录系统的用户名单全部显示出来。

单独执行lastb指令，它会读取位于/var/log/btmp的文件，并把该文件内容记录的登入系统失败的用户名单，全部显示出来。

第一列信息：用户名，或者显示reboot（启动或者重启操作在这里会记录成reboot）

第二列信息：终端位置，pts/0 (伪终端或虚拟终端) 意味着从诸如SSH或telnet的远程连接的用户。

tty (teletypewriter) 意味着直接连接到计算机或者本地连接的用户,如果是启动或者重启操作，这里会显示成system boot

第三列信息：登录ip或者内核，如果你看见:0.0 或者什么都没有，这意味着用户通过本地终端连接。

也有在状态中显示内核版本的信息，笔者猜测这些记录应该是属于系统的操作，如开机，关机，重启等操作

第四列信息：开始时间,其中的日期格式为date +"%a %b %d"

第五列信息：结束时间（still login in 还未退出 down 直到正常关机 crash 直到强制关机）

第六列信息：持续时间

================================================================================

last命令的参数补充说明(以下参数同样合适lastb命令)：

参 　  数：-a 把从何处登入系统的主机名称或IP地址，显示在最后一行；

　　　　　-d 将IP地址转换成主机名称。当用户从远端而非本地主机登入系统时，所记录的将不仅是主机名称，还包括该远端主机的IP地址。

默认情况下会用IP地址来显示远端的主机，使用这项参数可将其换成主机名称；

　　　　　-f 指定记录文件。预设last指令会去读取/var/log目录里的btmp文件；

　　　　　-n 设置列出名单的显示列数，如果你只想查询最后登入系统的10位用户名称，可将显示列数设成"10"，

想查询最后的30位用户，则设为"30"，依此类推；

　　　　　-R 不显示登入系统的主机名称或IP地址；

               -x 可显示系统关机、重新开机，以及执行等级的改变等信息。