[로그인 로그] 리눅스(Linux) 로그인 정보 로그 관련 명령어 정리

---

1. 로그인 정보 로그 관련 명령어

▶ /var/log/wtmp

• 시스템에 접속하는 사용자들의 로그인 정보 저장하고 있는 로그파일,
• ASCII 파일이므로 직접 열어서 확인할 수 없습니다.
• last 명령어를 사용하면 다양한 방법으로 사용자의 로그인 정보 확인할 수 있으며 시스템이 재부팅되었던 정보도 확인이 가능합니다. 

 

▶ /var/log/lastlog

• 시스템의 모든 사용자가 접속한 최근 접속 정보를 저장하고 있는 파일입니다.
• 직접 열어서 확인할 수 없습니다.
• lastlog 명령어를 사용하여 확인이 가능하며 /etc/passwd 파일에 정의되어있는 모든 계정 사용자의 최근 접속 정보를 확인할 수 있음

 

▶ /var/run/utmp

• 현재 시스템에 로그인한 각 사용자의 상태 
• 명령어 :w, who, users
• 바이너리 파일이므로 직접 열어서 볼 수 없음

 

▶ /var/log/btmp

• 실패한 로그인 시도를 기록
• 명령어 lastb
• 바이너리 파일이므로 직접 열어서 볼 수없음

▶ /var/log/cron

• 예약한 작업의 정상 실행 여부 확인
• cat /var/log/cron 
• 예약한 작업 리스트 확인 crontab -l 

▶ /var/log/secure

• ssh, telnet, su 등의 로그인 인증 기록
• cat /var/log/secure 

 

---

2. 사용자 로그인 정보 확인 명령어

▶ # last 모든 계정에 대한 접속 정보 확인 

▶ last [option] [계정 이름]

옵션	설명
-n	원하는 출력 행의 수 설정
-R	접속 위치를 제외한 정보 출력
-a	접속 위치를 마지막 열에 출력
-d	외부 접속 정보와 재부팅 정보만 출력
-t	특정 시간 이전의 정보 출력
reboot	재부팅된 정보만 출력

 

▶  최근의 정보를 기준으로 원하는 행 만만 접속 정보 확인

# last -10  >> 10 라인만 출력

 

▶  특정 계정의 로컬 접속이 아닌 외부에서 접속한 정보만 확인

# last -d root

 

▶  특정일을 기준으로 그 이전의 접속 정보만을 확인 

# last -t 20120215000000

 

---

3. 마지막 접속 정보 확인 명령어

▶ lastlog

# lastlog  -> 모든 계정에 대한 마지막 접속 정보 확인

# last -u 계정 이름

# lastlog -u ensung

 

---

4. 실패한 로그인 시도 확인 명령어

▶ lastb 실패한 로그인 시도에 대해 출력