last 명령어

last 명령어

시스템 보안 점검이나 사용자 활동 추적을 위해, 누가 언제 시스템에 접속했는지 확인할 수 있는 명령어가 바로 last입니다. last 명령은 wtmp 로그 파일을 기반으로 사용자 로그인·로그아웃, 시스템 재부팅 이력을 출력해줍니다.

기본 사용법

최근 로그인 기록 조회

last

vagrant  pts/0        192.168.0.1      Tue Jan 31 21:30   still logged in
reboot   system boot  5.15.0-58-generi Tue Jan 31 21:30   still running
root     tty1                          Tue Jan 31 00:11 - down   (00:00)
vagrant  pts/0        192.168.0.1      Sun Dec 11 20:11 - 22:41  (02:30)
vagrant  pts/0        192.168.0.14     Sun Dec 11 19:37 - 20:07  (00:29)
ubuntu   pts/1        192.168.0.51     Sun Dec 11 18:58 - 19:35  (00:36

항목	설명
사용자명	로그인한 사용자 계정
접속 터미널	pts/N: 원격 접속, ttyN: 로컬 콘솔
IP 주소	원격 접속 시 접속자 IP(로컬은 표시 안 됨)
로그인 시간	로그인 시각 및 세션 종료 시각/지속 시간
reboot	시스템이 재부팅된 시점 표시

• 📌 원격 접속일 경우 접속자의 IP 주소가 출력되며, 로컬 접속인 경우에는 IP가 생략됩니다.

728x90

지난 기록까지 확인

wtmp 로그 직접 지정

• last 명령은 기본적으로 /var/log/wtmp 파일을 참조합니다.
• 이 파일은 사용자의 로그인·로그아웃, 시스템 부팅 시점 등의 로그가 기록됩니다.

cd /var/log

ls -l wtmp

-rw-rw-r-- 1 root utmp 181632 Jan 31 21:30 wtmp

과거 백업된 wtmp 로그나 다른 파일을 확인하고 싶을 때는 -f 옵션을 사용합니다.

last -f wtmp

reboot   system boot  5.15.0-58-generi Tue Jan 31 21:30   still running
root     tty1                          Tue Jan 31 00:11 - down   (00:00)
vagrant  pts/0        192.168.0.1      Sun Dec 11 20:11 - 22:41  (02:30)
reboot   system boot  5.15.0-56-generi Sun Dec 11 20:10 - 22:41  (02:31)
vagrant  pts/0        192.168.0.14     Sun Dec 11 19:37 - 20:07  (00:29)
reboot   system boot  5.15.0-56-generi Sun Dec 11 19:30 - 20:07  (00:36)
scbyun   pts/1        192.168.0.51     Sun Dec 11 18:58 - 19:35  (00:36)
reboot   system boot  5.15.0-56-generi Sun Dec 11 18:52 - 19:35  (00:42)

• 🔁 wtmp 파일은 로그 순환(logrotate)을 통해 주기적으로 새 파일로 교체될 수 있습니다.

last 명령어는 사용자 활동 추적, 이상 징후 탐지, 보안 감사 등의 기본적인 로그 확인 도구로 매우 유용합니다.