last
数据源： /var/log/wtmp（默认 记录每个用户的登录次数和持续时间等信息）和/var/log/btmp(详细，包括登录失败请求)
数据源格式：二进制（可以通过dump-utmp 命令进行阅读）
last [-adRx][-f ][-n ][帐号名称...][终端机编号...]

                                              图1 last 命令格式
参数说明：
　　-a 　把从何处登入系统的主机名称或IP地址，显示在最后一行。
　　-d 　将IP地址转换成主机名称。
　　-f <记录文件> 　指定记录文件，默认是显示/var/log目录下的wtmp文件的记录，但/var/log目录下得btmp能显示的内容更丰富，可以显示远程登录，例如ssh登录 ，包括失败的登录请求。
　　-n <显示列数>或-<显示列数> 　设置列出名单的显示列数。
　　-R 　不显示登入系统的主机名称或IP地址。
　　-x 　显示系统关机，重新开机，以及执行等级的改变等信息。
       -i 显示特定ip登录的情况

      -t  显示YYYYMMDDHHMMSS之前的信息

实例1

last

                                                                                       图2 last
正常命令重启显示为down，而电源强制重启为crash

   字段介绍：

           第一列：用户名

           第二列：终端位置

           第三列：登录ip或者内核

           第四列：开始时间

           第五列：结束时间（still login in 还未退出  down 直到正常关机 crash 直到强制关机）

           第六列：持续时间

实例2

last -x

                                                图3 last -x

实例3

 last  -n

                             &nb