VPS登录记录可以通过哪些方法进行查看?
| 操作系统 |
查看方法 |
主要命令/工具 |
日志文件位置 |
| Linux |
命令行查看 |
last, who, w, lastlog |
/var/log/wtmp, /var/log/auth.log |
| Windows |
事件查看器 |
eventvwr.msc, Get-WinEvent |
C:\Windows\System32\winevt\Logs |
| 通用方法 |
第三方工具 |
OSSEC, Wazuh, Event Log Explorer |
根据工具配置 |
VPS登录记录查看方法详解
VPS登录记录的查看对于服务器安全管理至关重要,它能够帮助管理员及时发现异常登录行为,防范安全风险。
主要查看方法对比
| 方法类型 |
适用系统 |
操作难度 |
信息详细程度 |
| 命令行查看 |
Linux |
中等 |
详细 |
| 事件查看器 |
Windows |
简单 |
非常详细 |
| 第三方工具 |
跨平台 |
中等 |
可定制 |
Linux系统查看登录记录
方法一:使用last命令
操作说明:last命令是最常用的查看登录记录工具,能够显示系统所有用户的登录历史。
使用工具提示:适用于所有Linux发行版,无需额外安装。
# 查看最近登录记录
last
查看最近10条登录记录
last -n 10
查看特定用户登录记录
last username
显示完整信息
last -F
代码块模拟工具界面:
root pts/0 192.168.1.100 Fri Nov 1 07:30:15 2025 - Fri Nov 1 08:15:22 2025 (00:45:07)
admin pts/1 203.0.113.45 Thu Oct 31 22:10:33 2025 - Fri Nov 1 06:45:12 2025 (08:34:39)
方法二:使用who命令
操作说明:who命令显示当前登录系统的用户信息。
使用工具提示:适用于快速查看当前活跃会话。
# 查看当前登录用户
who
查看所有历史登录记录
who /var/log/wtmp
代码块模拟工具界面:
username tty 登录时间 来源
root pts/0 2025-11-01 07:30 192.168.1.100
admin pts/1 2025-11-01 06:45 203.0.113.45
方法三:查看认证日志
操作说明:直接查看系统认证日志文件获取详细登录信息。
使用工具提示:需要root权限访问日志文件。
# 查看SSH登录记录
cat /var/log/auth.log | grep sshd
查看成功登录记录
cat /var/log/auth.log | grep "Accepted"
查看失败登录尝试
cat /var/log/auth.log | grep "Failed"
Windows系统查看登录记录
方法一:使用事件查看器
操作说明:通过Windows事件查看器查看安全日志中的登录事件。
使用工具提示:图形化界面操作,适合不熟悉命令行的用户。
# 打开事件查看器
eventvwr.msc
操作步骤:
- 按下Win+R键,输入
eventvwr.msc
- 展开"Windows日志",选择"安全"
- 点击"筛选当前日志"
- 输入事件ID:4624(成功登录)
方法二:使用PowerShell
操作说明:通过PowerShell命令查询登录事件记录。
使用工具提示:需要管理员权限运行PowerShell。
# 查看成功登录记录
Get-WinEvent -FilterHashtable @{logname='security'; id=4624} | Format-Table TimeCreated, Id, LevelDisplayName, Message
查看所有用户登录历史
query user
第三方工具监控登录记录
OSSEC安全监控工具
操作说明:OSSEC是一款开源的主机入侵检测系统,能够实时监控登录行为。
使用工具提示:适合需要自动化监控和安全告警的场景。
# 安装OSSEC(以Ubuntu为例)
sudo apt-get update
sudo apt-get install ossec-hids
查看登录告警
tail -f /var/ossec/logs/alerts/alerts.log
常见问题及解决方案
| 问题 |
原因 |
解决方案 |
| last命令显示”No logon records” |
wtmp日志文件不存在或被清空 |
检查/var/log/wtmp文件是否存在,或等待新的登录记录生成 |
| 事件查看器无法打开 |
权限不足或服务未运行 |
以管理员身份运行,检查Event Log服务状态 |
| 认证日志文件权限拒绝 |
当前用户无读取权限 |
使用sudo或切换到root用户执行命令 |
| 登录记录时间显示异常 |
系统时区设置不正确 |
检查系统时区设置,使用date命令验证 |
| 无法区分正常与异常登录 |
缺乏IP白名单机制 |
设置IP白名单,使用脚本过滤可信IP的登录记录 |
通过以上方法,管理员可以全面掌握VPS的登录情况,及时发现并处理安全威胁。定期检查登录记录应该成为服务器维护的常规操作,特别是对于承载重要业务的服务。
发表评论