一、查看日志
-
定位日志文件
- vsftpd:
/var/log/vsftpd.log或/var/log/xferlog - ProFTPD:
/var/log/proftpd/proftpd.log - Pure-FTPd:
/var/log/pure-ftpd/pure-ftpd.log
- vsftpd:
-
常用查看命令
- 实时查看:
sudo tail -f /var/log/vsftpd.log - 分页查看:
sudo less /var/log/vsftpd.log - 查看全部内容:
sudo cat /var/log/vsftpd.log
- 实时查看:
二、分析日志
-
基础分析命令
- 过滤特定用户:
grep "username" /var/log/vsftpd.log - 统计操作次数:
grep "RETR" /var/log/vsftpd.log | wc -l(统计下载次数) - 分析IP访问:
awk '{print $5}' /var/log/vsftpd.log | sort | uniq -c | sort -nr - 查找失败登录:
grep "Failed password" /var/log/auth.log
- 过滤特定用户:
-
工具化分析
- logwatch:自动生成日志报告,安装后运行
logwatch --service ftp。 - ELK Stack:通过Elasticsearch、Logstash、Kibana实现日志的收集、分析和可视化。
- awk高级分析:提取IP、时间、操作类型等字段,例如:
awk '/^[[0-9]{1,3}\.]/ {print $1, $4, $9}' /var/log/vsftpd.log | sort | uniq -c
- logwatch:自动生成日志报告,安装后运行
三、日志管理
-
日志轮转
使用logrotate配置自动压缩、删除旧日志,编辑/etc/logrotate.d/vsftpd文件。 -
安全监控
- 结合
fail2ban阻止恶意IP。 - 通过
journalctl -u vsftpd.service -f查看系统级日志。
- 结合
注意:不同FTP软件日志格式可能不同,需根据实际配置调整命令。分析时关注登录异常、文件传输异常等安全风险。