一、查看日志

• 定位日志文件
  vsftpd日志默认位于 /var/log/vsftpd.log 或 /var/log/xferlog，可通过配置文件 /etc/vsftpd/vsftpd.conf 确认路径。
• 基础查看命令
  • cat /var/log/vsftpd.log：查看完整日志。
  • less /var/log/vsftpd.log：分页查看，支持上下翻页。
  • tail -f /var/log/vsftpd.log：实时监控最新日志。

二、分析日志

• 过滤关键信息
  • 查找特定用户操作：grep "user1" /var/log/vsftpd.log。
  • 筛选特定时间段记录（如今日）：awk '$1 == "$(date +%Y-%m-%d)"' /var/log/vsftpd.log。
  • 统计下载次数：grep "RETR" /var/log/vsftpd.log | wc -l。
• 用户与IP分析
  • 统计用户连接次数：awk '/user1/ {count++} END {print count}' /var/log/vsftpd.log。
  • 统计访问IP及次数：awk '{print $5}' /var/log/vsftpd.log | sort | uniq -c | sort -nr。
• 异常检测
  • 查找登录失败记录：grep "Failed password" /var/log/auth.log（需结合系统认证日志）。

三、工具辅助

• 自动化分析
  • Logwatch：每日生成日志报告，需安装配置。
  • ELK Stack：可视化分析大规模日志，适合复杂场景。
• 注意事项
  • 定期清理旧日志：通过 cron 定时任务删除超过7天的日志。
  • 权限问题：使用 sudo 访问日志文件，避免权限不足。

参考来源：