Debian SFTP日志如何查看分析

查看SFTP日志

• 命令行查看

  • 使用 grep 过滤含 “sftp” 的日志：
    sudo grep -i 'sftp' /var/log/auth.log
  • 实时查看最新日志：
    sudo tail -f /var/log/auth.log | grep -i 'sftp'
  • 查看特定时间范围日志（需日志含时间戳）：
    awk '$0 >= "[2025-09-01 00:00:00]" && $0 <= "[2025-09-01 23:59:59]"' /var/log/auth.log | grep -i 'sftp'

• 工具分析

  • logwatch：定期分析并邮件发送日志报告，需先安装配置。
    sudo logwatch --output mail
  • fail2ban：监控暴力破解等异常，需在 /etc/fail2ban/jail.local 中启用 SFTP 监控。

分析SFTP日志

• 基础统计

  • 统计用户连接次数：
    sudo awk '/username/ {print $1}' /var/log/auth.log | sort | uniq -c
  • 查找失败登录：
    sudo grep 'Failed password' /var/log/auth.log
  • 提取文件操作记录：
    sudo grep 'UPLOAD\|DOWNLOAD' /var/log/auth.log

• 高级分析

  • 使用 awk 提取特定字段（如时间、IP、用户名）：
    sudo awk '/sshd.*sftp/ {print $1, $2, $3, $9, $11}' /var/log/auth.log
  • 通过正则表达式匹配复杂模式（如提取文件路径）：
    sudo grep -oP 'sftp> \K[^ ]+' /var/log/auth.log

注意事项

• 确保权限：使用 sudo 访问日志文件。
• 日志轮转：Debian 默认用 logrotate 管理日志，可通过 ls /var/log/auth.log.* 查看历史日志。
• 安全配置：若需长期存储敏感日志，建议配置加密或远程存储（如 syslog 服务器）。