[Linux] 리눅스 lastlog을 사용하여 마지막 접속 정보 출력하기

 

lastlog는 /etc/passd 파일에 정의되어 있는 시스템의 모든 계정 정보와 /var/log/lastlog 파일에 기록되어 있는 시스템 로그 파일을 분석하여 사용자의 마지막 로그인 시간, 호스트 명, 포트를 출력하는 명령이다.

로그 접속 기록 중 출처를 알 수 없는 접속 기록이나 로그인이 허락되지 않은 사용자의 접속 기록이 있다면 크래킹의 흔적으로 볼 수 있어 시스템을 분석할 필요가 있다

lastlog command

lastlog [옵션]

1. 기본 출력 확인 하기

[root@localhost ~]# lastlog
사용자이름	포트	어디서	최근정보
root		pts/4	*.*.*.*	월  1월 11 21:49:00 +0900 2021

-- 중략 --

gnome-initial-setup	:0	목  4월  9 12:38:59 +0900 2020
[root@localhost ~]# lastlog -help

옵션을 주지 않고 lastlog만 입력하여 출력한 결과다.

기본으로 출력할 경우 /etc/passd 파일에 정의된 모든 사용자의 접속 IP, 포트, 접속 시간을 출력한다.

2. 특정 계정의 마지막 접속 정보만 출력하기

[root@localhost ~]# lastlog -u root
사용자이름	포트	어디서	최근정보
root		pts/4	*.*.*.*	월  1월 11 21:49:00 +0900 2021

lastlog명령에 -u 옵션을 추가하여 해당 계정을 지정하면 해당 계정의 마지막 접속 정보만 출력한다.

위 실행 결과는 root 계정의 마지막 접속 정보를 출력한 결과로 2021년 1월 1일 21시 49분 0초 월요일에 접속한 것을 알 수 있다.

3. X일 이내의 마지막 접속 정보만 출력하기

[root@localhost ~]# lastlog -t 10
사용자이름	포트	어디서	최근정보
root		pts/4	*.*.*.*	월  1월 11 21:49:00 +0900 2021

uptime 명령에 -t 옵션을 사용하면 입력한 일 이내에 접속 기록이 있는 계정의 마지막 접속 정보를 출력한다.

위 실행 결과는 10 이내의 접속 정보를 출력한 결과로 root계정만 로그인 기록이 있고 해당 계정의 마지막 접속 정보는 2번 항목과 같다.

4. X일 이후의 마지막 접속 정보만 출력하기

[root@localhost ~]# lastlog -b 10
사용자이름	포트	어디서	최근정보

-- 중략 --

gnome-initial-setup :0		목  4월  9 12:38:59 +0900 2020

uptime 명령에 -b 옵션을 사용하면 입력한 일 이후에 접속 기록이 있는 계정의 마지막 접속 정보를 출력한다.

위 실행 결과는 10 이후의 접속 정보를 출력한 결과로 rootgnome-initial-setup계정이 2020년 4월 9일 12시 38분 59초 목요일에 접속한 것을 알 수 있다. 

 

 

- 끝 -