阿里云服务器登录记录查询(Linux/Windows)

所购买阿里云服务器被登录过，不知道谁登录的，通过查看阿里云ECS实例的远程登录信息，可以有效的进行故障定位和安全分析，本文主要介绍如何查看阿里云ECS服务器实例的远程登录信息。

Linux实例查看远程登录信息的方法

1、通过管理终端连接Linux实例，详情请参见连接方式概述。

2、使用root用户执行以下命令，查看远程登录Linux实例的客户端的信息。

last

系统显示类似如下，可查看客户端名称和客户端地址，及事件记录时间等信息，通过该信息分析服务器是否存在安全隐患。

说明：下列内容为last命令输出结果的注解： 

第一列：用户名。

第二列：登录终端，若为pts/0表示伪终端指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。

第三列：登录IP地址或者内核 。若为0.0或无内容，表示用户从本地终端连接。除重启操作，内核版本会显示在状态中。

第四列：开始时间。

第五列：结束时间（still logged in状态：用户未退出，down状态：直到正常关机，crash状态：直到强制关机）。

第六列：持续时间。

Windows系统查看远程登录信息的方法

1、通过管理终端连接Windows实例，详情请参见连接方式概述。

2、选择开始，右键单击运行，在运行框中输入eventvwr.msc，单击确定。

3、打开事件查看器页面，依次选择Windows 日志>安全，单击筛选当前日志。

4、在筛选当前日志页面，在所有事件 ID框中输入4648，单击确定，系统会列出符合筛选条件的日志，双击对应的事件日志。

5、在事件属性页面，单击详细信息，可查看客户端名称和客户端地址，及事件记录时间等信息，通过该信息分析服务器是否存在安全隐患。