Debian SFTP日志分析方法

Debian SFTP日志分析方法如下：

1. 查看日志文件

   • 主日志路径：/var/log/auth.log，使用命令 cat /var/log/auth.log | grep 'sftp' 过滤SFTP相关条目。
   • 实时查看：tail -f /var/log/auth.log | grep 'sftp'。

2. 过滤关键信息

   • 按用户过滤：grep 'username' /var/log/auth.log。
   • 按操作类型过滤：grep 'UPLOAD' 或 grep 'DOWNLOAD'（部分系统需结合具体日志格式）。
   • 查找失败登录：grep 'Failed password' /var/log/auth.log。

3. 统计与分析

   • 统计用户连接次数：awk '/username/ {print $1}' /var/log/auth.log | sort | uniq -c。
   • 分析时间范围日志：结合 awk 按日期筛选（需日志包含时间戳）。

4. 工具辅助分析

   • logwatch：定期生成日志报告，支持邮件发送。
   • fail2ban：监控暴力破解记录，自动封锁恶意IP。

5. 注意事项

   • 确保日志权限安全：chmod 600 /var/log/auth.log。
   • 若日志轮转，需检查 /etc/logrotate.d/ 下的配置。

参考来源：