如何查看VPS登录历史记录?
| 查询方法 |
适用系统 |
主要命令/工具 |
信息详细程度 |
| last命令 |
Linux系统 |
last, lastb |
详细 |
| 系统日志 |
Linux/Windows |
/var/log/secure, /var/log/auth.log |
全面 |
| who命令 |
Linux系统 |
who, w |
基础 |
| 事件查看器 |
Windows系统 |
Event Viewer |
全面 |
| SSH配置日志 |
Linux系统 |
/var/log/secure |
详细 |
如何查看和管理VPS登录历史记录
作为VPS管理员,了解服务器的登录情况对于安全监控和故障排查都至关重要。通过分析登录历史,可以及时发现异常登录行为,保障服务器安全。
主要查询方法概览
| 方法类别 |
具体工具 |
适用场景 |
优势特点 |
| 命令行工具 |
last, who, w |
Linux系统快速查询 |
简单高效 |
| 系统日志 |
/var/log/secure, /var/log/auth.log |
详细审计 |
信息完整 |
| 图形界面 |
Windows事件查看器 |
Windows系统 |
直观易用 |
| 安全软件 |
fail2ban, 安全审计工具 |
主动防护 |
自动化安全 |
详细操作步骤
步骤一:使用last命令查询登录记录
操作说明:
last命令是Linux系统中最常用的登录历史查询工具,可以显示系统最近的登录会话信息。
使用工具提示:
适用于所有Linux发行版,无需额外安装。
# 查看所有登录记录
last
查看指定用户的登录记录
last username
查看失败的登录尝试
lastb
查看系统重启记录
last reboot
代码块模拟工具界面:
root pts/0 192.168.1.100 Fri Oct 25 09:30:15 2025 still logged in
admin pts/1 203.0.113.45 Thu Oct 24 14:20:33 2025 - 15:45:12 (01:24:39)
ubuntu tty1 Wed Oct 23 08:15:22 2025 - 17:30:18 (09:14:56)
reboot system boot 5.4.0-42-generic Wed Oct 23 08:14:59 2025 - 17:30:18 (09:15:19)
步骤二:分析系统认证日志
操作说明:
系统认证日志记录了详细的登录认证过程,包括成功和失败的登录尝试。
使用工具提示:
不同Linux发行版的日志文件位置可能略有差异。
# 查看SSH登录日志
sudo tail -f /var/log/secure
sudo grep "Accepted" /var/log/auth.log
查看失败登录尝试
sudo grep "Failed" /var/log/secure
sudo grep "authentication failure" /var/log/auth.log
查看特定时间段的登录记录
sudo grep "Oct 25" /var/log/secure
代码块模拟工具界面:
Oct 25 09:30:15 vps sshd: Accepted password for root from 192.168.1.100 port 22 ssh2
Oct 25 08:15:33 vps sshd: Failed password for invalid user admin from 203.0.113.45 port 22 ssh2
Oct 25 07:45:22 vps sshd: pam_unix(sshd:session): session opened for user root
步骤三:使用who和w命令查看当前登录
操作说明:
who和w命令用于查看当前登录系统的用户信息。
使用工具提示:
适用于实时监控当前登录状态。
# 查看当前登录用户
who
查看详细信息(包括用户正在执行的操作)
w
代码块模拟工具界面:
# who命令输出
root pts/0 2025-10-25 09:30 (192.168.1.100)
admin pts/1 2025-10-25 10:15 (203.0.113.45)
w命令输出
10:20:15 up 2 days, 2:05, 2 users, load average: 0.08, 0.03, 0.01
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.1.100 09:30 0.00s 0.05s 0.00s w
admin pts/1 203.0.113.45 10:15 5.00s 0.02s 0.00s bash
步骤四:Windows系统登录历史查询
操作说明:
对于Windows VPS,可以使用事件查看器来查询登录历史。
使用工具提示:
通过图形界面操作,适合不熟悉命令行的用户。
# 通过PowerShell查询登录事件
Get-EventLog -LogName Security -InstanceId 4624 -Newest 10
代码块模拟工具界面:
事件ID: 4624
登录类型: 10
用户名: Administrator
域名: VPS-SERVER
登录ID: 0x3e7
源网络地址: 192.168.1.100
源端口: 54321
常见问题与解决方案
| 问题 |
原因 |
解决方案 |
| last命令显示”no logon activity” |
日志文件被清除或系统未记录登录信息 |
检查/var/log/wtmp文件是否存在,使用sudo touch /var/log/wtmp创建 |
| 无法查看详细登录IP |
日志配置不完整或网络设置问题 |
检查SSH配置中的日志级别,确保记录客户端IP |
| 登录记录时间不准确 |
系统时区设置错误 |
使用timedatectl set-timezone Asia/Shanghai设置正确时区 |
| 大量失败登录尝试 |
可能遭受暴力破解攻击 |
安装fail2ban,配置强密码,限制SSH端口访问 |
| 日志文件过大影响性能 |
日志轮转配置不当 |
配置logrotate,定期压缩和清理旧日志文件 |
通过以上方法和工具,您可以全面掌握VPS的登录情况,及时发现异常登录行为,有效提升服务器的安全性。定期检查登录历史应该成为VPS维护的常规操作之一。
发表评论