Tidadigi Logo

Lệnh last trong linux

Lệnh Last Trong Linux: Truy Vết Lịch Sử Đăng Nhập Hệ Thống

Bạn muốn biết ai đã đăng nhập vào hệ thống Linux của mình? Bạn tò mò về thời gian hoạt động của một tài khoản cụ thể? Lệnh last trong Linux chính là công cụ mạnh mẽ giúp bạn truy vết lịch sử đăng nhập và đăng xuất của người dùng trên hệ thống.

Bài viết này sẽ cung cấp cho bạn một cái nhìn tổng quan về lệnh last, cách sử dụng chi tiết, các tùy chọn hữu ích và những ví dụ thực tế để bạn có thể khai thác tối đa sức mạnh của công cụ này. Hãy cùng khám phá!

Lệnh Last Là Gì?

Lệnh last là một tiện ích dòng lệnh trong hệ điều hành Linux và Unix, được sử dụng để hiển thị danh sách các lần đăng nhập và đăng xuất gần đây của người dùng. Nó đọc dữ liệu từ tệp nhật ký /var/log/wtmp (hoặc /var/log/btmp cho các lần đăng nhập không thành công) và hiển thị thông tin về người dùng, thiết bị đầu cuối (terminal), thời gian đăng nhập và đăng xuất.

Hiểu một cách đơn giản, last giống như một cuốn sổ ghi lại tất cả các hoạt động ra vào hệ thống của người dùng. Nó giúp bạn theo dõi ai đã sử dụng máy tính của mình, khi nào họ đăng nhập và họ đã sử dụng nó trong bao lâu.

Cú Pháp Của Lệnh Last

Cú pháp cơ bản của lệnh last như sau:

last [tùy_chọn] [tên_người_dùng] [thiết_bị_đầu_cuối]

Trong đó:

  • last: Lệnh gọi chương trình.
  • tùy_chọn: Các tùy chọn điều chỉnh hành vi của lệnh (ví dụ: số lượng bản ghi hiển thị, tệp nhật ký sử dụng).
  • tên_người_dùng: Tên người dùng mà bạn muốn xem lịch sử đăng nhập (tùy chọn).
  • thiết_bị_đầu_cuối: Tên thiết bị đầu cuối mà bạn muốn xem lịch sử đăng nhập (tùy chọn).

Các Tùy Chọn Thường Dùng Của Lệnh Last

Lệnh last cung cấp nhiều tùy chọn khác nhau để bạn có thể tùy chỉnh kết quả hiển thị. Dưới đây là một số tùy chọn phổ biến nhất:

  • -n hoặc --number: Chỉ định số lượng bản ghi đăng nhập muốn hiển thị. Ví dụ: last -n 10 sẽ hiển thị 10 bản ghi gần đây nhất.
  • -f hoặc --file: Chỉ định tệp nhật ký khác để đọc thay vì /var/log/wtmp. Ví dụ: last -f /var/log/wtmp.1.
  • -t hoặc --till: Hiển thị các lần đăng nhập cho đến thời điểm được chỉ định. Ví dụ: last -t 20231027120000 sẽ hiển thị các lần đăng nhập cho đến 12:00:00 ngày 27 tháng 10 năm 2023.
  • -a hoặc --hostformat: Hiển thị tên máy chủ ở cột cuối cùng.
  • -x: Hiển thị thông tin về việc tắt hệ thống và khởi động lại.

Ví Dụ Về Cách Sử Dụng Lệnh Last

Để hiểu rõ hơn về cách sử dụng lệnh last, hãy xem xét một vài ví dụ sau:

  • Hiển thị tất cả các lần đăng nhập gần đây: 
    last
    Lệnh này sẽ hiển thị tất cả các lần đăng nhập và đăng xuất được ghi lại trong tệp /var/log/wtmp.
  • Hiển thị 10 lần đăng nhập gần đây nhất: 
    last -n 10
    Lệnh này sẽ hiển thị 10 lần đăng nhập và đăng xuất gần đây nhất.
  • Hiển thị lịch sử đăng nhập của người dùng "john": 
    last john
    Lệnh này sẽ hiển thị tất cả các lần đăng nhập và đăng xuất của người dùng có tên "john".
  • Hiển thị lịch sử đăng nhập cho đến ngày 20 tháng 10 năm 2023: 
    last -t 20231020
    Lệnh này sẽ hiển thị tất cả các lần đăng nhập trước ngày 20 tháng 10 năm 2023.

Bảng So Sánh Lệnh Last Với Các Lệnh Tương Tự

Dưới đây là bảng so sánh lệnh last với một số lệnh tương tự trong Linux:

Lệnh Mô tả Ưu điểm Nhược điểm
last Hiển thị lịch sử đăng nhập và đăng xuất của người dùng. Đơn giản, dễ sử dụng, hiển thị thông tin chi tiết. Dữ liệu có thể bị xoay vòng (rotated), giới hạn số lượng bản ghi.
wtmp Tệp nhật ký chứa thông tin đăng nhập và đăng xuất (không phải là lệnh). Chứa tất cả thông tin đăng nhập và đăng xuất. Không dễ đọc trực tiếp, cần sử dụng các công cụ khác để phân tích.
utmp Tệp nhật ký chứa thông tin về người dùng hiện đang đăng nhập (không phải là lệnh). Cho biết ai đang đăng nhập vào hệ thống hiện tại. Không lưu trữ lịch sử đăng nhập.

Ứng Dụng Thực Tế Của Lệnh Last

Lệnh last có nhiều ứng dụng thực tế trong việc quản trị hệ thống và bảo mật:

  • Kiểm tra hoạt động của người dùng: Bạn có thể sử dụng last để kiểm tra xem người dùng nào đã đăng nhập vào hệ thống và họ đã hoạt động trong bao lâu.
  • Phát hiện hoạt động đáng ngờ: Nếu bạn thấy có những lần đăng nhập bất thường hoặc từ những địa chỉ IP lạ, bạn có thể sử dụng last để điều tra thêm.
  • Gỡ lỗi sự cố: Khi có sự cố xảy ra, bạn có thể sử dụng last để xem ai đã đăng nhập vào hệ thống vào thời điểm xảy ra sự cố, từ đó giúp bạn tìm ra nguyên nhân.
  • Kiểm toán bảo mật: Lệnh last là một phần quan trọng trong quy trình kiểm toán bảo mật, giúp bạn đảm bảo rằng hệ thống của mình được bảo vệ an toàn.

Lưu Ý Quan Trọng Khi Sử Dụng Lệnh Last

Khi sử dụng lệnh last, bạn cần lưu ý một số điều sau:

  • Quyền truy cập: Bạn cần có quyền root hoặc quyền tương đương để đọc tệp nhật ký /var/log/wtmp.
  • Xoay vòng nhật ký: Các tệp nhật ký thường được xoay vòng (rotated) định kỳ để tiết kiệm dung lượng ổ cứng. Điều này có nghĩa là các bản ghi cũ có thể bị xóa.
  • Tính chính xác: Thông tin trong tệp nhật ký có thể không hoàn toàn chính xác nếu hệ thống gặp sự cố hoặc bị tấn công.

Câu Hỏi Thường Gặp (FAQ)

  1. Làm cách nào để xem lịch sử đăng nhập không thành công?

    Bạn có thể sử dụng lệnh lastb để xem lịch sử đăng nhập không thành công. Lệnh này đọc dữ liệu từ tệp /var/log/btmp.

  2. Tại sao tôi không thấy tất cả các lần đăng nhập trong lịch sử?

    Có thể là do tệp nhật ký đã bị xoay vòng hoặc bạn không có quyền truy cập đầy đủ.

  3. Làm cách nào để xóa lịch sử đăng nhập? (Cần thận trọng)

    Bạn có thể xóa tệp /var/log/wtmp, nhưng điều này sẽ xóa toàn bộ lịch sử đăng nhập và có thể ảnh hưởng đến các công cụ khác phụ thuộc vào tệp này. Hãy cẩn thận khi thực hiện việc này.

Kết Luận

Lệnh last là một công cụ vô cùng hữu ích để theo dõi lịch sử đăng nhập của người dùng trên hệ thống Linux. Bằng cách nắm vững cách sử dụng và các tùy chọn của lệnh này, bạn có thể dễ dàng kiểm tra hoạt động của người dùng, phát hiện các hoạt động đáng ngờ và gỡ lỗi các sự cố hệ thống. Hy vọng rằng bài viết này đã cung cấp cho bạn những kiến thức cần thiết để khai thác tối đa sức mạnh của lệnh last.

Last Updated : 20/08/2025