Der last-Befehl

Der Befehl last zeigt die letzten Anmeldesitzungen an. Er liest die Datei /var/log/wtmp und listet Benutzer, Zeitpunkte und Herkunft der Logins auf.

Syntax des last-Befehls

last [OPTIONEN] [BENUTZER] [TTY...]
  • OPTIONEN - Flags zur Filterung und Formatierung der Ausgabe.
  • BENUTZER - Ein oder mehrere Benutzernamen zur Einschränkung der Anzeige.
  • TTY - Terminal-Bezeichnungen wie pts/0 oder :0.

Grundlegende Verwendung

Ohne Argumente zeigt last alle Anmeldesitzungen in umgekehrter chronologischer Reihenfolge:

last

Die Ausgabe enthält folgende Spalten:

  • Benutzername - Bei Systemereignissen erscheinen die speziellen Einträge reboot und shutdown.
  • TTY - Das Terminal der Sitzung. :0 steht für eine grafische Desktop-Anmeldung.
  • Herkunft - IP-Adresse oder Hostname bei Remote-Logins.
  • Zeitraum - Start- und Endzeit der Sitzung.
  • Dauer - Länge der Sitzung. Bei aktiven Sitzungen steht hier still logged in.

Anmeldungen eines Benutzers anzeigen

Übergib einen Benutzernamen als Argument, um nur dessen Anmeldungen zu sehen:

last mark

Mehrere Benutzer lassen sich kombinieren:

last mark root

Anzahl der Einträge begrenzen

Mit einem Bindestrich und einer Zahl begrenzt du die Ausgabe:

last -10

Das zeigt nur die letzten zehn Anmeldesitzungen.

Zeitbasierte Filterung

Anmeldungen an einem bestimmten Datum

Die Option -p zeigt alle Sitzungen, die zu einem bestimmten Zeitpunkt aktiv waren:

last -p 2024-01-15

Zeitraum eingrenzen

Mit -s (since) und -t (until) definierst du einen Zeitraum:

last -s 2024-02-13 -t 2024-02-18

Diese Optionen akzeptieren verschiedene Zeitformate:

# Vollständiges Datum
2024-01-15

# Datum mit Uhrzeit
2024-01-15 14:30:00

# Relative Angaben
today
yesterday
-5days
+2hours

Vollständige Zeitangaben anzeigen

Standardmäßig kürzt last die Zeitangaben. Mit -F erhältst du vollständige Zeitstempel inklusive Sekunden und Jahr:

last -F

IP-Adressen und Hostnamen

Die Option -i erzwingt die Anzeige von IP-Adressen:

last -i

Mit -d werden stattdessen Hostnamen aufgelöst:

last -d

Anmeldungen auf einem Terminal anzeigen

Filtere nach einem bestimmten Terminal:

last pts/0

Das ist nützlich, um Aktivitäten auf einer bestimmten SSH-Verbindung nachzuverfolgen.

Zusammenfassung

Der Befehl last ist ein grundlegendes Werkzeug zur Überwachung von Benutzeraktivitäten. Er zeigt An- und Abmeldezeiten, hilft bei der Fehlersuche und unterstützt die Sicherheitsanalyse auf Mehrbenutzersystemen. Weitere Details findest du mit man last.