Ubuntu与vsftp日志分析技巧
2025年9月11日
互联网
日志文件位置
- 认证相关日志:
/var/log/auth.log
- vsftpd服务日志:
/var/log/vsftpd.log
常用分析命令
- 查看登录尝试:
- 所有失败登录:
grep "sshd.*Failed password for" /var/log/auth.log
- 特定IP失败登录:
grep "sshd.*Failed password for user@IP" /var/log/auth.log
- 成功登录:
grep "sshd.*Accepted password for" /var/log/auth.log
- 查看服务状态:
- 启动/停止事件:
grep "vsftpd.*starting\|stopped" /var/log/syslog
- 实时监控:
tail -f /var/log/vsftpd.log
- 统计分析:
- 统计用户连接次数:
awk '/user/ {count++} END {print count}' /var/log/vsftpd.log
- 统计IP访问次数:
awk '{print $5}' /var/log/vsftpd.log | sort | uniq -c | sort -nr
高级分析工具
- ELK Stack:用于日志收集、分析和可视化,适合大规模日志处理。
- fail2ban:识别并阻止恶意登录尝试,可结合日志自动更新防火墙规则。
注意事项
- 中文乱码可调整系统字符集或修改
vsftpd.conf中syslog_enable=yes。
- 定期使用
logrotate工具轮转日志,避免文件过大。
