如何查看VPS登录日志？有哪些常用命令和方法？

日志类型	存储位置	查看命令	说明
SSH登录日志	/var/log/auth.log	tail -f /var/log/auth.log	记录SSH登录尝试和结果
系统登录日志	/var/log/wtmp	last	记录所有用户登录历史
失败登录记录	/var/log/faillog	fail2ban-client status	记录登录失败尝试
实时登录监控	-	who	显示当前登录用户

如何查看VPS登录日志？5种常用方法教你快速排查登录记录

作为VPS管理员，定期查看登录日志是保障服务器安全的重要步骤。通过分析登录记录，可以及时发现异常登录尝试、暴力破解等安全威胁。本文将介绍5种常用的VPS登录日志查看方法，帮助你快速掌握服务器登录情况监控技巧。

一、查看SSH登录日志

SSH是远程管理VPS的主要方式，其登录日志通常存储在/var/log/auth.log文件中。使用以下命令可以实时查看最新的SSH登录记录：

tail -f /var/log/auth.log

• 要点一：该日志会记录每次SSH登录尝试的时间、IP地址和结果（成功/失败）
• 要点二：结合grep命令可以筛选特定类型的记录，如grep "Failed password"查看失败登录尝试

二、查看系统登录历史

last命令可以显示所有用户的登录历史记录，包括登录时间、IP地址和持续时间：

last

1. 该命令读取/var/log/wtmp文件
2. 添加-n 10参数可以只显示最近10条记录
3. 使用last reboot可以查看系统重启记录

三、监控失败登录尝试

专门记录失败登录的日志位于/var/log/faillog，查看方法：

fail2ban-client status

• 如果使用fail2ban等安全工具，可以更直观地看到被拦截的失败登录尝试
• 该日志对于发现暴力破解攻击特别有用

四、实时查看当前登录用户

who命令可以快速显示当前登录系统的用户信息：

who

1. 显示内容包括用户名、终端类型、登录时间和IP地址
2. w命令会显示更详细的当前活动信息

五、配置日志轮转和长期保存

默认情况下，日志文件会不断增长，建议配置logrotate进行日志轮转：

1. 编辑/etc/logrotate.conf配置文件
2. 设置合适的保留周期和压缩选项
3. 定期备份重要日志到安全位置

1. 为什么查看VPS登录日志很重要？ 定期检查登录日志可以帮助发现异常登录行为，及时应对安全威胁，是服务器安全防护的基础工作。 2. 如何设置登录失败告警？ 可以配置fail2ban等工具，当检测到多次失败登录时自动发送告警邮件或执行封禁操作。 通过以上5种方法，你可以全面掌握VPS的登录情况，及时发现并处理潜在的安全风险。建议将日志检查纳入日常运维流程，结合自动化工具提高效率。