如何在Linux中查看当前用户的登录记录？

在Linux中,可以通过以下方式查看当前用户的登录记录:

1. 查看lastlog文件:

# 查看lastlog文件
cat /var/log/lastlog

# 只查看当前用户记录
cat /var/log/lastlog | grep $(whoami)
lastlog文件存储着所有用户最后一次登录的时间与主机名。

2. 查看wtmp文件:

# 查看wtmp文件
sudo last -f /var/log/wtmp 

# 只查看当前用户记录 
sudo last -f /var/log/wtmp $(whoami)

wtmp文件存储着所有登录与登出事件的记录。

3. 查看utmp文件:

# 查看当前登录用户
who

# 查看详细信息
w

utmp文件存储着当前登录用户的信息。

4. 查看用户的history记录:
   history命令可以查看用户的历史执行命令。

# 查看history记录
history 

# 查看详细history记录
less ._history

._history文件存储着用户在当前Shell会话中的所有执行历史。

5. 查看audit日志:
   auditd服务可以审计用户的登录与 logout 事件。日志在/var/log/audit/目录下。

# 查看audit日志
sudo auditctl -l /var/log/audit/audit.log 

# 筛选当前用户
sudo auditctl -l /var/log/audit/audit.log | grep $(whoami)