命令行查看
grep
过滤含 “sftp” 的日志:sudo grep -i 'sftp' /var/log/auth.log
sudo tail -f /var/log/auth.log | grep -i 'sftp'
awk '$0 >= "[2025-09-01 00:00:00]" && $0 <= "[2025-09-01 23:59:59]"' /var/log/auth.log | grep -i 'sftp'
工具分析
sudo logwatch --output mail
/etc/fail2ban/jail.local
中启用 SFTP 监控。基础统计
sudo awk '/username/ {print $1}' /var/log/auth.log | sort | uniq -c
sudo grep 'Failed password' /var/log/auth.log
sudo grep 'UPLOAD\|DOWNLOAD' /var/log/auth.log
高级分析
awk
提取特定字段(如时间、IP、用户名):sudo awk '/sshd.*sftp/ {print $1, $2, $3, $9, $11}' /var/log/auth.log
sudo grep -oP 'sftp> \K[^ ]+' /var/log/auth.log
sudo
访问日志文件。logrotate
管理日志,可通过 ls /var/log/auth.log.*
查看历史日志。