4 种方法：轻松查看 Linux 用户登录、关机和重启历史记录

想知道谁登录过你的 Linux 系统，或者系统什么时候关机或重启过吗？像 Ubuntu、Debian、Fedora 和 Red Hat 等主流 Linux 发行版，都会自动记录用户登录、关机和重启事件，以及系统的运行时间。这些日志对系统管理员至关重要，可以用来调查事件、解决问题和统计用户活动。

在 Linux 中，系统和应用程序日志通常存放在/var/log/目录下，可以通过cat或journalctl等命令进行查看。除此之外，还有一些命令可以通过内核管理的特殊文件来监控用户活动。

接下来，本文将介绍 4 个简单且实用的命令，帮助你轻松获取用户登录详情、开关机和重启日志，以及查看 Linux 的运行时长。

为什么要关注 Linux 的重启日志

在 Linux 的世界中，掌握系统什么时候重启过是极其重要的，主要原因包括：

• 系统健康检查：持续监控系统的重启记录，就像为你的 Linux 系统进行定期体检一样。通过分析重启原因，管理员可以及时发现并解决潜在的问题，确保系统始终保持在最佳运行状态。
• 安全监控：如果系统发生意外重启，可能是对安全问题或黑客攻击的预警。密切关注系统的重启历史，有助于及时发现并防范可疑活动，从而确保系统的安全。
• 制定维护计划：掌握系统重启的时间和原因，可以更加科学地制定维护策略。这样不仅可以减少系统的停机时间，还可以保证系统的稳定和高效运行。

Linux 重启日志简介

在 Linux 系统中，/var/log目录可以说是系统的「黑匣子」，它详细记录了各种系统活动和应用程序的信息。但挑战在于，如何从海量的日志数据中，精确地提取出与系统重启相关的关键信息。

特别是位于/var/log目录下的wtmp和btmp这两个文件，它们不仅详细记录了 Linux 的重启日志，还捕捉了用户的登录会话信息。通过分析这两个文件，我们可以逐步揭示系统重启的原因，为管理系统提供有力的决策支持。

方法 1：使用 Who 命令快速查看 Linux 重启时间

要快速掌握 Linux 系统的上次重启时间，使用who命令就可以轻松搞定：

• 直接使用who命令，可以查看当前登录的用户列表。显示的信息包括用户名、终端类型、登录时间，以及用户登录的主机名或 IP 地址。

who

• 若只查看系统上次重启的时间，只需要加上-b参数：

who -b

方法 2：使用 Last 命令深入探索 Linux 重启历史

last是一个功能强大的命令，可以从/var/log/wtmp文件中详细追踪用户的登录历史和系统的重启记录：

• 查看特定用户的登录历史：

last <username>

• 查看系统的重启历史：

last reboot

以上命令会详细列出每次重启的时间顺序。你还可以通过以下参数来定制输出：

• 查看最近几次的重启记录：

last reboot -n 5 # 只显示最近 5 次重启记录

• 查看带有完整日期和时间的重启记录：

last reboot -F   # 显示精确到秒的时间戳

方法 3：使用 Uptime 命令查看 Linux 系统运行时间

uptime命令是一个评估 Linux 系统稳定性和性能的便捷工具，它能快速获取系统的运行时长、当前时间、登录用户数以及 CPU 的平均负载等信息。

uptime

此外，你还可以使用以下参数来获取更具体的信息：

• 显示系统运行的具体时长：

uptime -p

• 显示系统启动的具体日期和时间：

uptime -s

方法 4：使用 Journalctl 命令深入分析启动日志

journalctl命令是用于查看 Linux 系统详细日志的强大工具，特别适合于使用 systemd 的 Linux 发行版（如 Ubuntu、Fedora 等）。通过该命令，你可以获取关于系统启动和重启的详尽信息，从而深入了解系统的运行状态。

• 查看系统的所有启动记录：

journalctl --list-boot

• 查看特定启动 ID 的详细日志信息：

journalctl -b <boot_id>  # 将 <boot_id> 替换为实际的启动 ID

掌握查看 Linux 用户登录、关机和重启日志的方法，对于维护系统安全、排查故障以及优化系统性能至关重要。通过灵活运用 who、last、uptime 和 journalctl 等命令，我们可以轻松获取系统运行的关键信息，从而更好地管理和维护 Linux 系统。