如何查看VPS的登录记录？

方法	适用系统	命令示例	输出位置
last命令	Linux	last	/var/log/wtmp
lastlog命令	Linux	lastlog -u username	/var/log/lastlog
auth.log文件	Linux	grep "sshd" /var/log/auth.log	/var/log/auth.log
Event Viewer	Windows	查看”Windows日志-安全”	系统事件日志

如何查看VPS登录记录？四种方法快速排查异常登录

对于VPS管理员来说，定期检查登录记录是保障服务器安全的重要措施。通过分析登录记录，可以及时发现异常登录行为并采取相应措施。本文将介绍四种常用的查看VPS登录记录的方法，帮助您全面掌握服务器登录情况。

一、使用last命令查看登录历史（Linux系统）

last命令是Linux系统中最常用的查看登录记录的工具，它会显示所有用户的登录历史记录，包括登录时间、IP地址和持续时间等信息。

• 基本用法：直接在终端输入last命令即可查看完整的登录记录
• 过滤特定用户：使用last username可以查看指定用户的登录记录
• 输出位置：该命令读取的是/var/log/wtmp文件，这个文件会永久保存所有登录记录

注意事项：如果发现可疑的登录记录，特别是来自陌生IP地址的登录，应立即修改密码并检查服务器安全设置。

二、检查auth.log文件（Linux系统）

对于使用SSH登录的VPS，auth.log文件包含了详细的认证信息，是排查异常登录的重要依据。

1. 使用命令grep "sshd" /var/log/auth.log过滤出SSH相关的登录记录
2. 可以结合grep "Failed"来查看失败的登录尝试
3. 使用tail -f /var/log/auth.log可以实时监控新的登录尝试

关键信息：auth.log会记录每次登录的IP地址、时间戳和认证结果，是分析攻击行为的重要数据源。

三、使用lastlog命令查看最后登录时间

lastlog命令可以显示所有用户的最后登录时间，对于检查长期未使用的账户特别有用。

• 使用lastlog -u username查看指定用户的最后登录时间
• 所有用户的最后登录信息存储在/var/log/lastlog文件中
• 如果发现某个账户的最后登录时间异常，可能是账户已被盗用

四、Windows系统的登录记录查看方法

对于Windows系统的VPS，可以通过以下步骤查看登录记录：

1. 打开"事件查看器"
2. 导航到"Windows日志"→"安全"
3. 筛选事件ID为4624（成功登录）和4625（失败登录）的记录
4. 可以查看登录时间、用户名和源IP地址等详细信息

常见问题 1. 为什么我的VPS没有登录记录？ 可能是日志服务未启用或日志文件被清空。建议检查rsyslog或systemd-journald服务是否正常运行。 2. 如何防止登录记录被篡改？ 可以将日志文件设置为只读，并定期备份到安全位置。同时考虑使用日志集中管理工具。 3. 发现异常登录应该怎么办？ 立即更改所有相关账户的密码，检查服务器上的可疑进程和文件，必要时可以暂时禁用受影响账户的登录权限。