1、命令简介
aulast是一个程序,它打印出上次登录用户列表,类似于last和lastb命令。
2、命令用法
aulast [ options ] [ user ] [ tty ]
3、命令描述
aulast 搜索审核日志或给定的审核日志文件,并显示根据审核日志中的时间范围登录(和注销)的所有用户的列表。可以给出用户和 tty 的名称,在这种情况下,aulast 将仅显示与参数匹配的条目。ttys 的名称可以缩写,因此 aulast 0 与最后 tty0 相同。
每次系统重新启动时,pseudo用户reboot都会登录。因此,上次重新启动将显示自日志文件创建以来所有重新启动的日志。
用户会注意到的主要区别是,aulast从最老的到最新的打印事件,而last从最新的到最老的打印记录。另外,每次分配tty或pty时,审计系统都没有得到通知,因此您可能不会看到那么多指示用户及其tty的记录。
4、命令选项
| --bad | 报告错误登录 |
| --extract | 将用于创建显示报表的原始审核记录写入当前工作目录中的文件aulast.log |
| -f file | 使用文件而不是审核日志进行输入 |
| --proof | 打印出用于确定报表上一行的审核事件序列号 |
| --stdin | 从 stdin 获得审计记录 |
5、使用示例
1)查看本月的登陆记录
ausearch --start this-month --raw | aulast --stdin
2)打印出用于确定报表上一行的审核事件序列号
ausearch --start this-month --raw | aulast --proof
3)直接从 stdin 获得审计记录,而不是使用ausearch进行日志搜索
aulast --stdin