命令行查看
grep 過濾關鍵信息:sudo grep 'sftp' /var/log/auth.log(過濾包含“sftp”的日志)sudo tail -f /var/log/auth.log | grep sftpsudo less /var/log/auth.log,輸入 /sftp 搜索關鍵字工具查看
journalctl(適用于systemd系統):sudo journalctl -u sshd | grep sftp基礎分析
sudo awk '/sshd.*sftp/ {print $9}' /var/log/auth.log | sort | uniq -csudo grep 'Failed password' /var/log/auth.logsudo grep 'UPLOAD\|DOWNLOAD' /var/log/auth.log(需確認日志中是否包含此類關鍵字)高級分析
logwatch:定期生成日志分析報告,可通過郵件發送。fail2ban:分析暴力破解嘗試并自動封禁IP,查看狀態:sudo fail2ban-client status sshd。logrotate 自動壓縮舊日志,避免文件過大(默認已集成,可通過 sudo logrotate -d /etc/logrotate.conf 測試配置)。sudo 訪問日志文件,避免權限不足。/etc/ssh/sshd_config 中設置 LogLevel VERBOSE,重啟SSH生效。參考來源:[1,2,3,4,5,6,7,8,9,10]
