last命令：

last命令用于显示用户最近登录信息。单独执行last命令，将读取 /var/log/wtmp 文件，注意的是这是个二进制文件，它不能够被vi或者其他的一些编辑器打开。并将给该文件的内容记录的登入系统所有已登录用户的用户名、tty、IP地址、日期-时间和用户已经登录的时间。

语法：

last （选项） （参数）

选项：

• -a：把从何处登入系统的主机名称或ip地址，显示在最后一行
• -d：将IP地址转换成主机名称
• -f <记录文件>：指定记录文件
• -n <显示列数> / -<显示列数>：设置列出名单的显示列数
• -R：不显示登入系统的主机名称的主机名称或IP地址
• -x：显示系统关机、重新开机以及执行等级的改变等信息

参数：

• 用户名：显示用户登录列表
• 终端：显示从指定终端的登录列表

实际用法：

单独 last：

last信息解读

第一列告诉谁是用户

第二列给出了用户如何连接的信息

pts/0 （伪终端） 意味着从诸如SSH或telnet的远程连接的用户

tty （teletypewriter） 意味着直接连接到计算机或者本地连接的用户

除了重启活动，所有状态会在启动时显示

第三列显示用户登录ip、来自哪里。如果用户来自于远程计算机，你会看到一个主机名或者IP地址。如果你看见：0.0 或者什么都没有，这意味着用户通过本地终端连接。除了重启活动，内核版本会显示在状态中。

第四列: 开始时间

第五列: 结束时间 still log in: 还在登录、down: 直到正常关机、crash: 直到强制关机

第六列: 持续时间

查看最近一次开机时间：

who -b
# 或
last -1 reboot

查看关机记录：

last -x | grep shutdown # 以关机时间段展示

查看失败登录记录：

sudo lastb -i # 来源以ip显示

查看系统最近一次开机至今时间

uptime
# 或
w

详细导图

导图来源：https://blog.csdn.net/jerry_1126/article/details/54427119