كيفية استخدام آخر أمر على لينكس

من ومتى ومن اين؟ تشير ممارسات الأمان الجيدة إلى أنه يجب عليك معرفة من كان يصل إلى جهاز كمبيوتر Linux الخاص بك. نوضح لك كيف.

ملف wtmp

Linux وأنظمة التشغيل الأخرى الشبيهة بـ Unix مثل MacOS جيدة جدًا في التسجيل. في مكان ما في أحشاء النظام ، يوجد سجل لكل ما يمكن أن يخطر ببالك. ملف السجل الذي نهتم به يسمى wtmp. قد تشير كلمة “w” إلى “متى” أو “من” —لا يبدو أن أحدًا يوافق على ذلك. ربما يشير الجزء “tmp” إلى “مؤقت” ، ولكنه قد يشير أيضًا إلى “الطابع الزمني”.

ما نعرفه هو أن wtmp عبارة عن سجل يلتقط ويسجل كل حدث لتسجيل الدخول والخروج. تعد مراجعة البيانات الموجودة في سجل wtmp خطوة أساسية في اتباع نهج يهتم بالأمان في مهام مسؤول النظام لديك. بالنسبة لجهاز كمبيوتر عائلي نموذجي ، قد لا يكون الأمر بالغ الأهمية من منظور الأمان ، ولكن من المثير للاهتمام أن تكون قادرًا على مراجعة استخدامك المشترك للكمبيوتر.

على عكس العديد من ملفات السجل النصية في Linux ، يعد wtmp ملفًا ثنائيًا. للوصول إلى البيانات الموجودة فيه ، نحتاج إلى استخدام أداة مصممة لهذه المهمة.

هذه الأداة هي الأمر الأخير.

الأمر الأخير

يقرأ الأمر الأخير البيانات من سجل wtmp ويعرضها في نافذة طرفية.

إذا قمت بكتابة الأخير والضغط على Enter ، فسيتم ذلك عرض كافة السجلات من ملف السجل.

last

يتم عرض كل سجل من wtmp في نافذة المحطة.

من اليسار إلى اليمين ، يحتوي كل سطر على:

اسم المستخدم الخاص بالشخص الذي قام بتسجيل الدخول.
المحطة التي تم تسجيل دخولهم إليها. الإدخال الطرفي: 0 يعني أنه تم تسجيل الدخول على كمبيوتر Linux نفسه.
عنوان IP للجهاز الذي تم تسجيل الدخول إليه.
وقت تسجيل الدخول وختم التاريخ.
مدة الجلسة.

يخبرنا السطر الأخير بتاريخ ووقت أول جلسة مسجلة في السجل.

  كيفية إصلاح مشاكل التمهيد والسائق في PCIe NVMe SSD

يتم إدخال إدخال تسجيل الدخول للمستخدم الوهمي “إعادة التشغيل” في السجل في كل مرة يتم فيها تمهيد الكمبيوتر. يتم استبدال الحقل الطرفي بإصدار kernel. تمثل مدة جلسة تسجيل الدخول لهذه الإدخالات وقت تشغيل الكمبيوتر.

عرض عدد محدد من الخطوط

يؤدي استخدام الأمر الأخير بمفرده إلى تفريغ السجل بالكامل مع مرور معظمه عبر النافذة الطرفية. الجزء الذي يظل مرئيًا هو البيانات الأقدم في السجل. ربما لم يكن هذا ما تريد رؤيته.

يمكنك إخبار الأخير لإعطائك عددًا محددًا من سطور الإخراج. قم بذلك عن طريق توفير عدد الأسطر التي تريدها في سطر الأوامر. لاحظ الواصلة. لرؤية خمسة أسطر ، يجب كتابة -5 وليس 5:

last -5

هذا يعطي أول خمسة أسطر من السجل ، وهي أحدث البيانات.

إظهار أسماء الشبكة للمستخدمين البعيدين

يخبر الخيار -d (نظام اسم المجال) أخيرًا بمحاولة حل عناوين IP للمستخدمين البعيدين في اسم الجهاز أو الشبكة.

last -d

ليس من الممكن دائمًا أن يقوم الأخير بتحويل عنوان IP إلى اسم شبكة ، ولكن الأمر سيفعل ذلك عندما يكون ذلك ممكنًا.

إخفاء عناوين IP وأسماء الشبكات

إذا لم تكن مهتمًا بعنوان IP أو اسم الشبكة ، فاستخدم الخيار -R (بدون اسم مضيف) لمنع هذا الحقل.

نظرًا لأن هذا يعطي إخراجًا أكثر إتقانًا بدون التفافات قبيحة ، فقد تم استخدام هذا الخيار في جميع الأمثلة التالية. إذا كنت تستخدم الخيار الأخير لمحاولة تحديد نشاط غير عادي أو مشبوه ، فلن تلغي هذا الحقل.

اختيار السجلات حسب التاريخ

يمكنك استخدام الخيار -s (منذ ذلك الحين) لتقييد الإخراج لإظهار أحداث تسجيل الدخول التي حدثت منذ تاريخ محدد فقط.

إذا كنت ترغب فقط في مشاهدة أحداث تسجيل الدخول التي حدثت في 26 مايو 2019 ، يمكنك استخدام الأمر التالي:

last -R -s 2019-05-26

يعرض الإخراج السجلات مع أحداث تسجيل الدخول التي حدثت من الساعة 00:00 في اليوم المحدد ، وحتى أحدث السجلات في ملف السجل.

البحث حتى تاريخ الانتهاء

يمكنك استخدام علامة -t (حتى) لتحديد تاريخ انتهاء. يتيح لك هذا تحديد مجموعة من سجلات تسجيل الدخول التي حدثت بين تاريخين مهمين.

يطلب هذا الأمر أخيرًا استرداد سجلات تسجيل الدخول وعرضها من 00:00 (الفجر) في 26 حتى الساعة 00:00 (فجر) يوم 27. يؤدي هذا إلى تضييق القائمة وصولاً إلى جلسات تسجيل الدخول التي تمت في اليوم السادس والعشرين فقط.

  كيفية تسجيل المذكرات الصوتية بسرعة على iPhone أو iPad

تنسيقات الوقت والتاريخ

يمكنك استخدام الأوقات بالإضافة إلى التواريخ مع خياري -s و -t.

تنسيقات الوقت المختلفة التي يمكن استخدامها مع الخيارات الأخيرة التي تستخدم التواريخ والأوقات هي (كما يُزعم):

YYYYMMDDhhmmss
YYYY-MM-DD hh: mm: ss
YYYY-MM-DD hh: mm – تم ضبط الثواني على 00
YYYY-MM-DD – تم ضبط الوقت على 00:00:00
hh: mm: ss – تم تعيين التاريخ على اليوم
hh: mm – سيتم تعيين التاريخ على اليوم ، والثواني على 00
الآن
أمس – تم ضبط الوقت على 00:00:00
اليوم – تم ضبط الوقت على 00:00:00
غدًا – تم ضبط الوقت على 00:00:00
+ 5 دقائق
-5 ايام

لماذا “يُزعم”؟

لم يعمل التنسيقان الثاني والثالث في القائمة أثناء البحث عن هذه المقالة. تم اختبار هذه الأوامر على توزيعات Ubuntu و Fedora و Manjaro. هذه مشتقات لتوزيعات دبيان وريدهات وآرتش على التوالي. يغطي ذلك جميع العائلات الرئيسية لتوزيعات Linux.

last -R -s 2019-05-26 11:00 -t 2019-05-27 13:00

كما ترى ، لم يُرجع الأمر أي سجلات على الإطلاق.

يؤدي استخدام تنسيق التاريخ والوقت الأول من القائمة التي لها نفس التاريخ والأوقات كما يفعل الأمر السابق إلى إرجاع السجلات:

last -R -s 20190526110000 -t 20190527130000

البحث بالوحدات النسبية

يمكنك أيضًا تحديد فترات زمنية يتم قياسها بالدقائق أو الأيام ، بالنسبة للتاريخ والوقت الحاليين. نحن هنا نطلب السجلات من يومين مضت وحتى يوم مضى.

last -R -s -2days -t -1days

أمس واليوم والآن

يمكنك استخدام الأمس والغد كاختصار لتاريخ الأمس وتاريخ اليوم.

last -R -s yesterday -t today

لا يعني ذلك أن هذا لن يتضمن أي سجلات لهذا اليوم. هذا هو السلوك المتوقع. يطلب الأمر سجلات من تاريخ البدء حتى تاريخ الانتهاء. لا يتضمن سجلات من تاريخ الانتهاء.

الخيار الآن هو اختصار لـ “اليوم في الوقت الحالي”. لمشاهدة أحداث تسجيل الدخول التي حدثت منذ 00:00 (الفجر) حتى وقت إصدار الأمر ، استخدم هذا الأمر:

last -R -s today -t now

سيعرض هذا جميع أحداث تسجيل الدخول حتى الوقت الحالي ، بما في ذلك الأحداث التي لا تزال قيد تسجيل الدخول.

  كيفية تغيير طريقة عرض Excel للأرقام السالبة

الخيار الحالي

يتيح لك الخيار -p (الحاضر) معرفة من قام بتسجيل الدخول في وقت معين.

لا يهم متى قاموا بتسجيل الدخول أو الخروج ، ولكن إذا تم تسجيل دخولهم إلى الكمبيوتر في الوقت الذي تحدده ، فسيتم تضمينهم في القائمة.

إذا حددت وقتًا بدون تاريخ أخير ، يفترض أنك تعني “اليوم”.

last -R -p 09:30

الأشخاص الذين ما زالوا يقومون بتسجيل الدخول (من الواضح) ليس لديهم وقت تسجيل الخروج ؛ تم وصفهم بأنهم ما زالوا قيد تسجيل الدخول. إذا لم يتم إعادة تشغيل الكمبيوتر منذ الوقت الذي تحدده ، فسيتم إدراجه باعتباره لا يزال قيد التشغيل.

إذا كنت تستخدم الاختصار الآن مع الخيار -p (الحاضر) ، فيمكنك معرفة من قام بتسجيل الدخول في الوقت الذي تقوم فيه بإصدار الأمر.

last -R -p now

هذه طريقة طويلة إلى حد ما لتحقيق ما يمكن تحقيقه باستخدام الأمر who.

الأمر lastb

الأمر lastb يستحق الذكر. يقرأ البيانات من سجل يسمى btmp. هناك إجماع أكثر بقليل على اسم السجل هذا. يرمز حرف “b” إلى كلمة “سيء” ، لكن الجزء “tmp” لا يزال محل نقاش.

يسرد lastb محاولات تسجيل الدخول السيئة (الفاشلة). يقبل نفس الخيارات السابقة. نظرًا لأنها كانت محاولات تسجيل دخول فاشلة ، فستكون مدة كل إدخالاتها 00:00.

يجب عليك استخدام sudo مع lastb.

sudo lastb -R

الكلمة الأخيرة في الموضوع

معرفة من قام بتسجيل الدخول إلى جهاز كمبيوتر Linux الخاص بك ، ومتى ومن أين توجد معلومات مفيدة. يؤدي دمج هذا مع تفاصيل محاولات تسجيل الدخول الفاشلة إلى تزويدك بالخطوات الأولى في التحقيق في السلوك المشبوه.