SFTP日志分析可通过以下方式操作：

一、基础命令操作

1. 查看日志

   • 使用 cat、less、tail -f 命令查看日志文件（如 /var/log/auth.log 或 /var/log/secure）。
   • 示例：sudo tail -f /var/log/auth.log 实时监控日志。

2. 过滤关键信息

   • 用 grep 筛选含 “sftp”、“Failed password”、“UPLOAD” 等关键字的记录。
   • 示例：sudo grep 'sftp' /var/log/auth.log 查看所有SFTP相关日志。

3. 统计用户活动

   • 用 awk 统计用户连接次数：sudo awk '/sftp/ {print $1}' /var/log/auth.log | sort | uniq -c。
   • 过滤特定用户记录：sudo grep 'username' /var/log/auth.log。

二、进阶工具分析

• 专业日志工具

  • ELK Stack：用于大规模日志的收集、存储、可视化分析。
  • Fail2Ban：自动封禁异常登录IP，需配置 sshd 规则。
  • Logwatch：生成日志报告并邮件发送，适合定期审计。

• 脚本自动化
  可编写脚本提取特定信息（如用户下载行为），结合邮件工具（如 smtplib）发送报告。

三、注意事项

• 日志文件路径可能因系统而异（CentOS用 /var/log/secure，Ubuntu用 /var/log/auth.log）。
• 定期清理旧日志，避免占用磁盘空间。

以上方法可帮助快速定位SFTP异常行为，保障系统安全。