Linux vsftp日志分析：如何监控FTP活动

一、日志文件位置

• 认证日志：/var/log/auth.log（记录登录认证信息）
• 服务日志：/var/log/vsftpd.log（记录FTP服务操作，如上传/下载）
• 配置文件路径：可通过grep -i logfile /etc/vsftpd/vsftpd.conf确认自定义路径。

二、基础监控命令

1. 实时查看日志
   tail -f /var/log/vsftpd.log # 实时跟踪最新日志
2. 过滤关键信息
   • 查看特定IP操作：grep "192.168.1.100" /var/log/vsftpd.log
   • 查找失败登录：grep -E "Failed password|Login incorrect" /var/log/auth.log
   • 统计上传/下载次数：grep "RETR\|STOR" /var/log/vsftpd.log | wc -l
3. 统计用户活动
   • 用户连接次数：awk '/user1/ {count++} END {print count}' /var/log/vsftpd.log
   • 按IP统计访问量：awk '{print $1}' /var/log/vsftpd.log | sort | uniq -c | sort -nr

三、工具化监控

• 日志分析工具
  • ELK Stack：可视化日志分析，支持搜索、统计和告警。
  • Splunk：商业级日志管理，适合大规模数据分析。
• 流量监控工具
  • iftop：实时监控FTP端口（默认21）的带宽使用。
  • vnstat：记录历史流量，生成日/周/月统计报告。

四、自动化与告警

• 日志轮转：通过logrotate配置自动切割日志，避免文件过大。
• 定时任务：用cron定期执行分析脚本，例如每日生成登录统计报告。
• 告警机制：结合Prometheus+Grafana，对异常登录或流量激增设置阈值告警。

五、安全增强建议

• 启用vsftpd详细日志：在/etc/vsftpd/vsftpd.conf中设置log_ftp_protocol=YES。
• 限制日志权限：chmod 640 /var/log/vsftpd.log，防止未授权访问。

通过以上方法，可全面监控FTP服务器的活动状态，及时发现异常行为并优化性能。