有关用户登录的信息记录在 utmp(/var/run/utmp)、wtmp(/var/log/wtmp)、btmp(/var/log/btmp) 和 lastlog(/var/log/lastlog) 等文件中。

who、w 和 users 等命令通过 utmp(/var/run/utmp) 文件查询当前登录用户的信息。
last 和 ac 命令通过 wtmp(/var/log/wtmp) 文件查询当前与过去登录系统的用户的信息。
lastb 命令通过 btmp(/var/log/btmp) 文件查询所有登录系统失败的用户的信息。
lastlog 命令通过 lastlog(/var/log/lastlog) 文件查询用户最后一次登录的信息。

1. who 命令：显示当前当登录的用户的信息

[root@webserver01 ~]# who
root     pts/0        2019-04-15 09:21 (10.10.40.63)
root     pts/1        2019-04-15 10:57 (10.10.40.125)

2. w 命令：显示登录的用户及其当前执行的任务

[root@webserver01 ~]# w
 12:09:16 up  2:52,  2 users,  load average: 2.28, 1.86, 1.79
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    10.10.40.63      09:21    0.00s  0.09s  0.06s w
root     pts/1    10.10.40.125     10:57    1:12m  0.01s  0.01s -bash

3. users 命令：显示当前当登录的用户的用户名

[root@webserver01 ~]# users
root root

4. last 命令：显示当前与过去登录系统的用户的信息

[root@webserver01 ~]# last
root     pts/1        10.10.40.125     Mon Apr 15 10:57   still logged in
root     pts/0        10.10.40.63      Mon Apr 15 09:21   still logged in
reboot   system boot  2.6.32-431.el6.x Mon Apr 15 09:17 - 12:10  (02:53)
root     pts/0        10.10.40.63      Thu Apr 11 12:34 - 14:46  (02:11)
root     pts/0        10.10.40.63      Mon Apr  8 16:44 - 17:18  (00:34)
root     pts/0        10.10.40.125     Tue Mar 26 16:05 - 16:55  (00:50)
root     pts/0        10.10.40.63      Fri Mar  1 15:31 - 20:45 (1+05:14)
root     pts/0        10.10.40.63      Thu Feb 21 10:32 - 12:54  (02:21)
root     pts/0        10.8.8.88        Mon Feb  4 20:20 - 16:18 (9+19:58)
root     pts/0        10.10.40.63      Mon Jan 28 20:45 - 20:20 (6+23:35)
reboot   system boot  2.6.32-431.el6.x Sat Jan 26 12:29 - 12:10 (78+23:41)
root     pts/0        :0.0             Wed Jan 16 14:26 - crash (9+22:03)
root     pts/1        :0.0             Wed Jan 16 10:44 - crash (10+01:45)
root     pts/3        10.10.40.63      Tue Jan 15 17:08 - crash (10+19:21)
root     pts/2        10.10.40.63      Tue Jan 15 14:46 - 09:41 (2+18:55)
root     pts/2        10.10.40.63      Tue Jan 15 10:44 - 11:03  (00:19)

wtmp begins Thu Feb  8 03:10:46 2018

5. lastb 命令：显示所有登录系统失败的用户的信息

[root@webserver01 ~]# lastb
usuario  ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
usuario  ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
1234     ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)    
1234     ssh:notty    80.211.253.94    Mon Apr  1 03:39 - 03:39  (00:00)      

btmp begins Mon Apr  1 03:29:00 2019

6. lastlog 命令：显示用户最后一次登录的信息

[root@webserver01 ~]# lastlog
用户名           端口     来自             最后登陆时间
root             pts/1    10.10.40.125     一 4月 15 10:57:16 +0800 2019
bin                                        **从未登录过**

7. ac 命令：显示用户连接时间的统计数据

• a) 显示每天的总的连接时间

[root@webserver01 ~]# ac -d
Mar  7  total       10.50
Mar  8  total       15.42
Mar  9  total       24.04
Mar 12  total       87.31
Mar 13  total       32.49
Mar 16  total       89.02
Mar 18  total       98.65
Mar 19  total       54.44
Mar 20  total       50.33
Mar 21  total       56.81
Mar 24  total      144.77
Mar 25  total       49.88
Mar 26  total       52.27
Mar 27  total       57.06

• b) 显示每个用户的总的连接时间

[root@webserver01 ~]# ac -p
        root                              5362.90
        total     8859.28