Debian SFTP日志如何查看与分析

查看SFTP日志

• 命令行查看

  • 使用 grep 过滤关键信息：
    sudo grep 'sftp' /var/log/auth.log（过滤包含“sftp”的日志）
  • 实时查看最新日志：
    sudo tail -f /var/log/auth.log | grep sftp
  • 分页查看完整日志：
    sudo less /var/log/auth.log，输入 /sftp 搜索关键字

• 工具查看

  • 使用 journalctl（适用于systemd系统）：
    sudo journalctl -u sshd | grep sftp

分析SFTP日志

• 基础分析

  • 统计用户连接次数：
    sudo awk '/sshd.*sftp/ {print $9}' /var/log/auth.log | sort | uniq -c
  • 查找失败登录：
    sudo grep 'Failed password' /var/log/auth.log
  • 监控文件操作：
    sudo grep 'UPLOAD\|DOWNLOAD' /var/log/auth.log（需确认日志中是否包含此类关键字）

• 高级分析

  • 使用专业工具：
    • logwatch：定期生成日志分析报告，可通过邮件发送。
    • fail2ban：分析暴力破解尝试并自动封禁IP，查看状态：sudo fail2ban-client status sshd。
  • 日志轮转与归档：
    配置 logrotate 自动压缩旧日志，避免文件过大（默认已集成，可通过 sudo logrotate -d /etc/logrotate.conf 测试配置）。

注意事项

• 确保权限：使用 sudo 访问日志文件，避免权限不足。
• 调整日志级别：若需更详细记录，可在 /etc/ssh/sshd_config 中设置 LogLevel VERBOSE，重启SSH生效。

参考来源：[1,2,3,4,5,6,7,8,9,10]