Linux：记录用户登录信息（linux用户登陆记录）

Linux作为当今最流行的操作系统之一，用户登录信息记录是必不可少的。无论是服务器还是PC，都必须记录详细的用户登录信息，以便更好地管理。

Linux主要使用/var/log/wtmp来记录用户所有的登录信息，wtmp包括用户登录的数量、时间和日期，以及登录的终端类型。而在Linux中，可以通过last命令查询所有的登录信息：

“`nginx

[root@c9yL ~/]# last

ted pts/0 7.89.91.183 Fri Oct 12 15:38 still logged in

ted pts/0 7.89.91.183 Fri Oct 12 15:14 – 15:38 (00:23)

ted pts/0 7.89.91.183 Fri Oct 12 14:45 – 15:14 (00:28)

ted pts/0 7.89.91.183 Fri Oct 12 14:45 – crash (00:00)

ted tty2 Fri Oct 12 09:19 – 14:45 (05:25)

reboot system boot 3.10.0-693.el7.x Tue Nov 7 08:13 – 17:36 (09:22)

上面命令中输出的信息主要有：用户名,端口号,登录ip,登录和退出时间,持续时间。除此之外，Linux还有很多方法可以记录所有的用户登录信息，比如利用Auditd来记录用户登录信息：

[root@c9yL ~]# cat /etc/audit/auditd.conf |grep log_group

log_group = login

其中log_group默认用来记录用户登录信息，如果我们想定制监控信息，还可以通过auditctl指令来增加不同的组来记录：

[root@c9yL ~]# auditctl -w /etc/passwd -p rwa -k passwd

[root@c9yL ~]# auditctl -w /etc/shadow -p rwa -k shadow

“`

以上指令让auditd去监控密码文件/etc/passwd和/etc/shadow，只要这两个文件发生了变更，auditd 就会记录下来。

通过以上介绍，从/var/log/wtmp到auditd等，Linux有多种方式可以记录用户的登录信息，从而更好的管理Linux操作系统的服务和用户的行为。