Jika Anda mengelola sistem multi-user, Anda harus mengetahui siapa, kapan, dan dari mana user masuk ke mesin.
last adalah utilitas baris perintah yang menampilkan informasi tentang sesi login terakhir dari pengguna sistem. Ini sangat berguna ketika Anda perlu melacak aktivitas pengguna atau menyelidiki kemungkinan pembobolan sistem.
Artikel ini menjelaskan cara mengaudit siapa yang masuk ke sistem menggunakan perintah last.
Cara Menggunakan Perintah last
Sintaks untuk perintah last adalah sebagai berikut:
last [OPTIONS] [USER] [...]
Setiap kali pengguna login ke sistem, catatan untuk sesi login tersebut ditulis ke file /var/log/wtmp. Perintah last membaca file wtmp dan mencetak informasi tentang login dan logout dari pengguna. Catatan dicetak dalam urutan waktu secara terbalik, mulai dari yang terbaru.
Saat last dipanggil tanpa opsi atau argumen apa pun, hasilnya akan terlihat seperti ini:
rudi pts/0 10.10.0.7 Fri Feb 21 21:23 still logged in rudi pts/0 10.10.0.7 Tue Feb 18 22:34 - 00:05 (01:31) lisa :0 :0 Thu Feb 13 09:19 gone - no logout reboot system boot 4.15.0-74-g Fri Jan 24 08:03 - 08:03 (00:00) ...
Setiap baris output berisi kolom berikut dari kiri ke kanan:
- Nama user. Ketika sistem reboot atau dimatikan,
lastmenunjukkan penggunarebootdanshutdown. ttydi mana sesi berlangsung.:0berarti bahwa pengguna masuk ke lingkungan desktop.- Alamat IP atau hostname tempat pengguna masuk.
- Sesi start dan stop.
- Durasi sesi. Jika sesi masih aktif atau pengguna tidak keluar,
lastakan menampilkan informasi tentang sesi, bukan durasi dari sesi.
Untuk membatasi output ke pengguna atau tty tertentu, berikan nama pengguna atau tty sebagai argumen ke perintah last:
last rudilast pts/0Anda juga dapat menentukan beberapa nama pengguna dan sebagai argumen:
last rudi root pts/0Opsi Perintah last
last menerima beberapa opsi yang memungkinkan Anda membatasi, memformat, dan memfilter output. Di bagian ini, kami akan membahas yang paling umum.
Untuk menentukan jumlah baris yang ingin Anda cetak pada baris perintah, berikan nomor yang diawali dengan satu tanda hubung untuk perintah last. Misalnya, untuk mencetak hanya sepuluh sesi login terakhir, maka perintah yang akan Anda ketik:
last -10
Dengan opsi -p (--present), Anda dapat mengetahui siapa yang masuk ke sistem pada tanggal tertentu.
last -p 2020-01-15
Gunakan opsi -s (--since) dan -t (--until) untuk memberi tahu perintah last untuk menampilkan baris sejak atau sampai waktu yang ditentukan. Kedua opsi ini sering digunakan bersama untuk menentukan interval waktu yang Anda inginkan informasinya diambil. Misalnya untuk menampilkan catatan login dari 13 Februari hingga 18 Februari, maka perintah yang akan Anda jalankan:
last -s 2020-02-13 -u 2020-02-18
Untuk opsi -p, -s dan -t dapat ditentukan dalam format berikut:
YYYYMMDDhhmmss YYYY-MM-DD hh:mm:ss YYYY-MM-DD hh:mm (seconds will be set to 00) YYYY-MM-DD (time will be set to 00:00:00) hh:mm:ss (date will be set to today) hh:mm (date will be set to today, seconds to 00) now yesterday (time is set to 00:00:00) today (time is set to 00:00:00) tomorrow (time is set to 00:00:00) +5min -5days
Secara default, last tidak menunjukkan detik dan tahun. Gunakan opsi -F, --fulltimes untuk melihat waktu dan tanggal masuk dan keluar secara penuh:
last -F
Opsi -i (--ip) memaksa last untuk selalu menampilkan alamat IP, dan -d (--dns) untuk menampilkan hostname
last -i
Kesimpulan
Perintah last mencetak informasi tentang waktu masuk dan keluar pengguna. Untuk informasi lebih lanjut tentang perintah ini, ketikkan man last di terminal Anda.
