运行环境
所有ECS实例
查询方法
Linux查询方法
- 通过VNC或者远程登录到实例,具体参考官网火山引擎实例登录方法
- 执行命令
lastlast命令用于显示用户最近登录信息。单独执行last命令,它会读取/var/log/wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。 参数说明
-a 把从何处登入系统的主机名称或IP地址,显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件,而不是默认的/var/log/wtmp
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
-i 显示特定ip登录的情况
-t 显示YYYYMMDDHHMMSS之前的信息,显示截至指定时间的登录状态。
示例
说明:
正常命令重启显示为down,而电源强制重启为crash
第一列:用户名
第二列:终端位置
第三列:登录ip或者内核
第四列:开始时间
第五列:结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)
第六列:持续时间
Windows查询方法
- 通过VNC或者远程登录到实例,具体参考官网火山引擎实例登录方法
- 键盘执行win + R 在运行框中输入eventvwr.msc,单击确定。
- 打开事件查看器页面,依次选择Windows 日志>安全,单击筛选当前日志。
- 在筛选当前日志页面,在所有事件ID框中输入4648,单击确定,系统会列出符合筛选条件的日志,双击对应的事件日志。
- 在事件属性页面,单击详细信息,可查看客户端名称和客户端地址,及事件记录时间等信息。
注意:
IpAddress字段为远程登录过该Windows实例的客户端的IP地址。
IpPort字段为远程登录过该Windows实例的客户端的端口。
如果您有其他问题,欢迎您联系火山引擎技术支持服务
