centos sftp日志查看技巧

在CentOS系统中，查看SFTP日志可以通过以下几种方法进行：

查看SFTP日志文件位置

• SFTP日志文件通常位于 /var/log/secure 目录下，这是与安全相关的日志信息。

使用命令行工具查看SFTP日志

• 实时查看日志：使用 tail -f /var/log/secure 命令可以实时显示日志文件的最新内容，非常适合监控系统的最新活动。
• 搜索特定关键字：使用 grep 命令可以搜索特定关键字，例如 grep 'user login attempt' /var/log/secure 将显示包含“user login attempt”关键字的日志行。
• 查看日志文件内容：使用 cat 命令查看日志文件内容，例如 cat /var/log/secure。
• 分页查看日志文件：使用 less 命令分页查看日志文件，例如 less /var/log/secure。在less模式下，可以使用方向键上下滚动，按 q 键退出阅读。
• 提取特定信息：使用 awk 命令提取特定信息，例如 awk '/error/ {print $1, $2}' /var/log/secure 将提取日志文件中包含“error”的行的前两个字段。

使用日志分析工具

• 安装ELK Stack（Elasticsearch, Logstash, Kibana）可以更有效地查看和分析SFTP日志。
  • 安装Elasticsearch：sudo yum install elasticsearch
  • 启动Elasticsearch：sudo systemctl start elasticsearch
  • 安装Logstash：sudo yum install logstash
  • 启动Logstash：sudo systemctl start logstash
  • 配置Logstash（创建 /etc/logstash/conf.d/vsftpd.conf 文件）并启动Logstash。
  • 访问Kibana（默认用户名和密码是 kibana 和 password）：打开浏览器，访问 http://localhost:5601。

通过以上方法，您可以在CentOS系统中有效地查看和分析SFTP日志，从而进行故障排查和安全管理。