ECSWindows与 Linux服务器远程登陆日志的查询方法

　　远程登录日志在一定程度上可以让我们更有效的进行故障定位和安全分析，本文以Windows和Linux分别示例，演示如何从ECS 服务器查询登陆日志。

　　Windows系统

　　1、首先打开事件查看器：点击【开始】--【运行】--输入并执行eventvwr.msc 命令，打开windows 事件查看器。

　　2、筛选记录：在窗口主界面中，点击“+”号，展开【事件查看器】--【Windows日志】--【安全】--查找任务类别为：其他登录/注销事件 ，确定后 系统会列出符合筛选条件的记录。如下图所示：

　　3、事件分析：双击要分析的事件，点击【常规】选项卡，“附加信息”中会列出客户端名和客户端地址，及事件记录时间等信息，我们可以通过这些信息，分析服务器是否存在安全隐患。如下图所示：

　　Linux系统

　　以root账户执行“last”命令，系统会列出最近的登陆记录。如下图所示：

　　last命令各输出列作用及含义：

　　第一列：用户名。

　　第二列：终端位置。pts/0 (伪终端) SSH或telnet远程连接用户，tty 本地连接用户。

　　第三列：登录ip或者内核 。0.0 或 无内容，表示用户从本地终端连接。除重启活动，内核版本会显示在状态中。

　　第四列：开始时间。

　　第五列：结束时间(still logged in状态：用户未退出 down状态：直到正常关机 crash状态：直到强制关机)。

　　第六列：持续时间。

　　如问题还未解决,请联系售后技术支持。