lastbコマンドで /var/log/btmp の内容を表示する方法
スポンサードリンク
/var/log/btmp は 不正なログイン試行に関する情報を記録するファイルです。ブルートフォースアタックなど、Linuxサーバーに不正なログイン試行があった記録が書き込まれています。
/var/log/btmp はバイナリファイルなので通常のテキストエディタでは直接閲覧することができません。/var/log/btmp の内容を人間が読める形式で表示するには、 lastb コマンドを使用します。
lastb コマンドを実行すると、/var/log/btmp に記録されている不正なログイン試行の履歴が時系列順に表示されます。表示される情報には、以下のようなものがあります。
- ログインを試みたユーザー名
- ログインを試みた端末 (例: ssh, pts/0)
- ログインを試みたホストのホスト名または IP アドレス
- ログイン試行が開始された日時
- ログイン試行が終了した日時 (通常は接続拒否やタイムアウト)
以下は手元のサーバーで実行した結果です。
[root@hostname ~]# lastb
root ssh:notty 203.92.0.248 Tue Apr 11 18:59 - 18:59 (00:00)
root ssh:notty 203.92.0.248 Tue Apr 11 18:59 - 18:59 (00:00)
root ssh:notty 203.92.0.248 Tue Apr 11 18:59 - 18:59 (00:00)
sysadmin ssh:notty 13.103.115.117 Tue Apr 11 18:58 - 18:58 (00:00)
sysadmin ssh:notty 13.103.115.117 Tue Apr 11 18:58 - 18:58 (00:00)
public ssh:notty 92.255.82.107 Tue Apr 11 18:57 - 18:57 (00:00)
public ssh:notty 92.255.82.107 Tue Apr 11 18:57 - 18:57 (00:00)
super ssh:notty 92.255.82.107 Tue Apr 11 18:57 - 18:57 (00:00)
super ssh:notty 92.255.82.107 Tue Apr 11 18:57 - 18:57 (00:00)
btmp begins Tue Apr 11 18:37:58 2025
lastb コマンドには、表示する情報を絞り込むための様々なオプションがあります。よく使用されるオプションをいくつか紹介します。
# 表示する件数を指定するオプション(最新の 20 件を表示)
lastb -n 20
# または
lastb -20
# 特定のユーザー名によるログイン試行を表示する
lastb -u root
# 特定のホストまたはIPアドレスからの試行を表示する
lastb -h example.com
lastb -h 192.168.1.100
また、デフォルトの /var/log/btmp ではなく、指定したファイルから情報を読み取ることもできます。ファイルを指定するときは -h オプションを使用します。
lastb -f /var/log/btmp.1
Linuxコマンドについて学べるおすすめ書籍
Linuxコマンドの知識は、プログラマにとって長く役立つ知識です。 私はこちらの書籍で一通り知識を抑えました。基本から丁寧に解説されています。
Linux教科書 図解でパッとわかる LPIC/LinuC
はじめてLPICを受ける方向け、手を動かしながらLinuxについて学びたい方におすすめ。30日間の無料体験もできる『Kindle Unlimited』でも読むことができます。
Linuxコマンドについて徹底的に学べるUdemy講座
もう絶対に忘れない Linux コマンド【Linux 100本ノック+名前の由来+丁寧な解説で、長期記憶に焼き付けろ!】