Ubuntu FTP服務器日志如何查看與分析

一、查看日志

1. 定位日志文件

   • vsftpd：/var/log/vsftpd.log 或 /var/log/xferlog
   • ProFTPD：/var/log/proftpd/proftpd.log
   • Pure-FTPd：/var/log/pure-ftpd/pure-ftpd.log

2. 常用查看命令

   • 實時查看：sudo tail -f /var/log/vsftpd.log
   • 分頁查看：sudo less /var/log/vsftpd.log
   • 查看全部內容：sudo cat /var/log/vsftpd.log

二、分析日志

1. 基礎分析命令

   • 過濾特定用戶：grep "username" /var/log/vsftpd.log
   • 統計操作次數：grep "RETR" /var/log/vsftpd.log | wc -l（統計下載次數）
   • 分析IP訪問：awk '{print $5}' /var/log/vsftpd.log | sort | uniq -c | sort -nr
   • 查找失敗登錄：grep "Failed password" /var/log/auth.log

2. 工具化分析

   • logwatch：自動生成日志報告，安裝后運行 logwatch --service ftp。
   • ELK Stack：通過Elasticsearch、Logstash、Kibana實現日志的收集、分析和可視化。
   • awk高級分析：提取IP、時間、操作類型等字段，例如：
     awk '/^[[0-9]{1,3}\.]/ {print $1, $4, $9}' /var/log/vsftpd.log | sort | uniq -c

三、日志管理

1. 日志輪轉
   使用 logrotate 配置自動壓縮、刪除舊日志，編輯 /etc/logrotate.d/vsftpd 文件。

2. 安全監控

   • 結合 fail2ban 阻止惡意IP。
   • 通過 journalctl -u vsftpd.service -f 查看系統級日志。

注意：不同FTP軟件日志格式可能不同，需根據實際配置調整命令。分析時關注登錄異常、文件傳輸異常等安全風險。