Linux 如何统计系统上各个用户登录（或者登出）记录出现的次数？

柴古香 · 2025-7-27 01:11:10

命令

last | grep -v "^$" | awk '{ print $1 }' | sort -nr | uniq -c

复制代码

逐段解析

last

从 /var/log/wtmp（或者对应的系统登录日志）中读取并列出最近的登录、重启、关机等记录。
每行开头通常是用户名，例如：

alice pts/0 192.168.1.5 Tue Jul 22 10:15 still logged in
bob tty1 Mon Jul 21 09:00 - 17:00 (08:00)
reboot system boot 5.11.0-27-generic Tue Jul 22 09:00

复制代码

grep -v "^$"

^$ 匹配“空行”。
-v 表示“取反”，也就是去掉所有空行。
这样做主要是防止后面处理时碰到空行导致多余的空白用户名。

awk '{ print $1 }'

将每一行按空白（空格或制表符）拆分字段，$1 就是第 1 个字段——用户名（或者特殊条目如 reboot、shutdown 等）。
输出后的结果是一列用户名，例如：

alice
alice
bob
reboot
alice

复制代码

sort -nr

sort 用来对前一步的用户名列表进行排序。
-n 按“数值”排序，-r 倒序（从大到小）。
虽然此处每行都是字符串用户名，不是纯数字，但 sort -nr 会尝试把整行当数字比较，遇到非数字时效果可能与 sort -r 接近（把“字母行”视作 0 排在后面）。
这里本意是先把相同用户名聚在一起（任何 sort 都可）；如果想按照出现次数倒序，应该在 uniq -c 后再加一次 sort -nr。

uniq -c

uniq 用来把相邻的相同文本行合并，并加上出现次数。
-c 选项会在每行前面打印该行重复的次数。
例如，将上面的用户名列表：

alice
alice
alice
bob
reboot

复制代码

经过 uniq -c 会得到：

3 alice
1 bob
1 reboot

复制代码

整体作用

读取登录记录 → last
去掉空行 → grep -v "^$"
提取用户名 → awk '{print $1}'
（先行）排序以便于计数 → sort
统计每个用户名出现的次数 → uniq -c

典型应用场景：

找出最活跃的用户
检测异常频繁登录（如暴力破解）
审计系统访问情况
统计服务器用户活动频率

最终输出形如：

123 alice
45 bob
10 charlie
2 reboot

复制代码

表示 alice 的登录/登出记录出现了 123 次，以此类推。可以进一步在输出后面再加一个 | sort -nr，就能让出现次数多的用户排在最上面，更直观地看到“谁最常登录”：

last | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

这样就完成了从登录记录到按频率排名的全流程统计。
对于大型系统，可以使用更高效的工具组合：

last -w | cut -d' ' -f1 | grep -v '^$' | sort | uniq -c | sort -nr

复制代码

-w：显示完整用户名（避免截断）
cut -d' ' -f1：比 awk 更轻量级的字段提取工具

实用场景：

安全审计：检测异常登录行为

# 检查root登录
last | grep -v "^$" | awk '$1=="root"{print}' | wc -l

复制代码

排除系统账户（仅统计真实用户）：

last | grep -v -E "^(reboot|wtmp|^$)" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

按时间段统计：

# 统计本月登录
last -s $(date +%Y-%m-01) | grep -v "^$" | awk '{print $1}' | sort | uniq -c | sort -nr

复制代码

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

账号		自动登录	找回密码
密码			立即注册

Linux 如何统计系统上各个用户登录（或者登出）记录出现的次数？

相关帖子

浏览过的版块

签约作者

Linux 如何统计系统上各个用户登录（或者登出）记录出现的次数？

相关帖子

相关推荐

浏览过的版块

签约作者