last 명령은 사용자가 시스템에 로그인하고 로그아웃한 기록을 보여주는 도구입니다. 주로 /var/log/wtmp 파일을 기본으로 사용하지만, /var/log/btmp 파일을 통해 실패한 로그인 시도도 확인할 수 있습니다. 여기서는 last 명령의 주요 옵션과 그 사용 방법에 대해 설명하겠습니다.
1. 기본 사용법
last- 시스템에 로그인한 사용자와 로그인 시간, 종료 시간 등을 시간순으로 보여줍니다.
/var/log/wtmp파일을 읽어서 성공한 로그인 기록을 기본으로 표시합니다.
2. 실패한 로그인 시도 보기
sudo last -f /var/log/btmp- 실패한 로그인 시도를 시간순으로 보여줍니다.
/var/log/btmp파일을 읽어서 실패한 로그인 기록을 표시합니다.
3. 특정 사용자 기록 확인
last username- 특정 사용자의 로그인 기록만 필터링해서 볼 수 있습니다.
- 예를 들어,
last john은john이라는 사용자의 로그인 기록을 보여줍니다.
4. 특정 개수만큼 출력 제한
last -n 10- 최근 10개의 로그인 기록만 보여줍니다.
- -n 옵션으로 출력할 기록의 개수를 지정할 수 있습니다.
5. 특정 TTY나 IP 주소로 필터링
last -t pts/0- 특정 터미널(TTY)에서의 로그인 기록만 보여줍니다.
last -i옵션을 사용하면 IP 주소를 기준으로 필터링할 수 있습니다.
6. 특정 시간 범위 지정
last -s YYYY-MM-DD -t YYYY-MM-DD- 특정 시작(-s) 및 종료(-t) 날짜를 지정하여 해당 기간 동안의 기록을 보여줍니다.
- 예를 들어,
last -s 2023-01-01 -t 2023-01-31은 2023년 1월 한 달 동안의 기록을 표시합니다.
7. 로그인 중인 사용자의 실시간 확인
last -x- 시스템이 종료되거나 재부팅된 시점의 기록까지 포함하여 모든 로그를 보여줍니다.\
last -x reboot는 재부팅 기록만 볼 수 있습니다.
이와 같은 다양한 옵션을 통해 last 명령을 효과적으로 사용할 수 있습니다. 로그 분석을 통해 보안 관리를 강화하거나 시스템 사용 추적에 도움을 줄 수 있습니다.
● 명령어 sudo grep 'Failed' /var/log/auth.log 와 sudo last -f /var/log/btmp 명령의 차이
두 명령은 모두 시스템에서 실패한 로그인 시도 또는 인증 실패와 관련된 정보를 보여주지만, 서로 다른 로그 파일을 사용하고 각기 다른 방식으로 결과를 표시합니다.
- sudo grep ‘Failed’ /var/log/auth.log
- 이 명령은
/var/log/auth.log파일에서 “Failed”라는 단어가 포함된 라인을 검색합니다. - 일반적으로 이 로그 파일은 SSH와 같은 인증 시도와 관련된 정보를 기록하며, 로그인 실패, 비밀번호 오류, 인증 실패 등의 정보가 포함됩니다.
- 명령어 결과는 로그인 실패와 관련된 특정 라인들을 보여줍니다.
- 이 명령은
- sudo last -f /var/log/btmp
- 이 명령은
/var/log/btmp파일에서 실패한 로그인 시도의 기록을 확인하는 데 사용됩니다. /var/log/btmp파일은 모든 실패한 로그인 시도를 바이너리 형식으로 저장하며,last명령어를 통해 읽고 해석할 수 있습니다.- 이 명령의 출력은 실패한 로그인 시도의 목록을 시간순으로 정리해서 보여줍니다.
- 이 명령은
요약하자면:
grep명령은 텍스트 로그 파일에서 특정 키워드를 찾아 그 라인을 보여주고, 주로 인증 관련 메시지를 상세히 보고 싶을 때 유용합니다.last -f명령은 바이너리 로그 파일을 해석하여 실패한 로그인 시도의 기록을 시간순으로 간략하게 보여줍니다.
『 출처 – 
ChatGPT 』