Andreas Moor

Linux Systemadministration

Nutzeranmeldungen im Blick mit last

Inhaltsverzeichnis

Warum du den Befehl für die RHCSA kennen solltest

Als RHCSA-Kandidat musst du Systemprotokolle finden und interpretieren können, um Anmeldeaktivitäten, Neustarts und mögliche Sicherheitsvorfälle nachzuvollziehen. Der Befehl last ist dafür eines der wichtigsten Werkzeuge, weil er dir auf einen Blick zeigt, wer sich wann, wie lange und von wo auf deinem System angemeldet hat.

Was last genau macht

last liest die Binärdatei /var/log/wtmp aus und listet alle Logins, Logouts, Neustarts und Runlevel-Änderungen seit Anlegen dieser Datei auf. In der Ausgabe siehst du unter anderem Benutzername, Terminal (z. B. pts/0), Quelle (Hostname oder IP), Login-Zeit und Sitzungsdauer.

Für die RHCSA-Prüfung hilft dir last besonders beim Überprüfen von Login-Versuchen, dem Nachvollziehen von Reboot-Zeitpunkten und dem Abgleich mit anderen Logs wie dem System-Journal.

Grundsyntax und typische Aufrufe

Die grundlegende Syntax ist:

last [Optionen] [Benutzername] [tty]

Wenn du keine Argumente angibst, zeigt last eine chronologische Liste der letzten Logins und Systemereignisse an, bis keine Einträge mehr vorhanden sind.

Einige typische Alltagsbefehle:

  • last – alle bekannten Login-Sitzungen.
  • last root – nur Logins des Benutzers root.
  • last pts/0 – alle Logins über ein bestimmtes Terminal.

Wichtige Optionen für den Alltag

Einige Optionen sind für die tägliche Administration und für die RHCSA besonders hilfreich.

  • -n <Zahl>: Begrenzt die Anzahl der angezeigten Einträge, z. B. last -n 5 für die letzten fünf Logins.
  • -F: Zeigt vollständige Login- und Logout-Zeitstempel inklusive Datum und Uhrzeit, was bei forensischer Analyse sehr hilfreich ist.
  • -R: Unterdrückt die Anzeige des Hostnamens, etwa wenn dich nur lokale Aktivitäten interessieren.
  • -x: Blendet zusätzlich System-Shutdowns und Runlevel-Änderungen ein, damit du Wartungsfenster und Abstürze leichter erkennst.
  • -f <Datei>: Nutzt eine alternative wtmp-Datei, zum Beispiel aus einem Backup oder von einem anderen System.

Beispielnutzen im Admin-Alltag

  • Letzte Root-Aktivitäten prüfen: last root -n 10, um ungewöhnliche Anmeldezeiten zu finden.
  • Zeitpunkte von Reboots nachvollziehen: last -x | grep reboot, um Neustarts mit anderen Logs (z. B. journalctl) zu korrelieren.

Bezug zu den RHCSA-Zielen

In den offiziellen Zielen des RHCSA-Examens gehören das Auffinden und Interpretieren von Systemprotokollen sowie das Beibehalten von Journals zu den Kernaufgaben. last ergänzt hier Werkzeuge wie journalctl, indem es dir speziell die Login-Historie und Reboots über /var/log/wtmp liefert.

Beim Üben für die Prüfung solltest du:

  • unterschiedliche Login-Szenarien (lokal, SSH, root, normale User) erzeugen und anschließend mit last analysieren;
  • last mit anderen Befehlen kombinieren, etwa last -x plus journalctl --since zu bestimmten Zeiten, um Fehler rund um Reboots einzugrenzen.

Typische Stolperfallen

last ist nur so gut wie die zugrunde liegende wtmp-Datei: Wird diese rotiert oder gelöscht, siehst du nur Einträge ab dem Zeitpunkt der neuen Datei. In Minimal- oder Containerumgebungen kann es vorkommen, dass /var/log/wtmp gar nicht gepflegt wird und last entsprechend keine oder nur wenige Daten liefert.

Achte außerdem darauf, dass Zeiten immer in der Systemzeitzone angezeigt werden; nach einer Zeitzonenänderung können ältere Einträge auf den ersten Blick „falsch“ wirken, obwohl sie korrekt gespeichert sind.


Fediverse reactions

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Andreas Moor
Andreas Moor
@blog@andreas-moor.de

Hallo Fediverse, ich bin Andy!

Hier und auf meiner Website findest du mein akkumuliertes Linux-Sysadmin-Wissen, meine kleinen und größeren Projekte und die Tools, die ich nutze.

Viel Spaß beim stöbern, lesen und lernen! 🧑‍💻

217 Beiträge
10 Folgende

Weitere Beiträge