本文介绍了如何获取云服务器的用户登录记录,帮助您有效的进行故障定位和安全分析。
操作步骤
Linux 实例
说明:
本文 Linux 实例操作系统以 TencentOS Server 3.1 (TK4) 为例,不同版本操作系统步骤有一定区别,请您结合实际情况进行操作。
-
参考以下信息,按需查看用户登录信息:
说明:
用户登录的信息通常记录在 /var/run/utmp、/var/log/wtmp、/var/log/btmp 及 /var/log/lastlog 等文件中。
执行 who 命令,通过 /var/run/utmp 查看当前登录用户的信息。返回结果如下图所示:
执行命令 w,通过 /var/run/utmp 查看当前登录的用户名并显示该用户当前执行的任务。返回结果如下图所示:
执行命令 users,通过 /var/run/utmp 查看当前登录的用户名。返回结果如下图所示:
执行命令 last,通过 /var/log/wtmp 查看当前和曾经登录系统的用户信息。返回结果如下图所示:
执行命令 lastb,通过 /var/log/btmp 查看所有登录系统失败的用户的信息。返回结果如下图所示:
执行命令 lastlog,通过 /var/log/lastlog 查看用户最后一次登录的信息。返回结果如下图所示:
执行命令 cat /var/log/secure,查看登录信息。返回结果如下图所示:
Windows 实例
- 在操作系统界面,单击
,打开服务器管理器。
- 在服务器管理器 窗口中,选择右上角的工具 > 事件查看器。如下图所示:
- 在弹出的事件查看器 窗口中,选择左侧的 Windows 日志 > 安全 ,单击右侧的筛选当前日志。如下图所示:
- 弹出筛选当前日志 窗口,在**<所有事件 ID>** 中输入
4648,并单击确定。如下图所示:
-
在事件查看器窗口中,双击符合筛选条件的日志。
-
在弹出的事件属性 窗口中,单击详细信息,可查看客户端名称和客户端地址,及事件记录时间等信息。如下图所示:
