Ubuntu与vsftp的日志分析

Ubuntu 下 vsftpd 日志分析与排查指南

一 日志位置与类型

• 常见日志文件与用途如下（实际路径以配置文件为准）：
  • /var/log/vsftpd.log：vsftpd 服务自身的日志（连接、登录、退出等）。
  • /var/log/xferlog：标准传输日志，记录上传/下载的文件级明细（时间、大小、方向、用户等）。
  • /var/log/auth.log：PAM 认证相关日志，包含 FTP 登录成功/失败等认证事件（常见于本地或 PAM 认证场景）。
  • /var/log/syslog：系统日志，部分环境会将 vsftpd 启动/停止等事件写入此文件。
    提示：日志路径可在 /etc/vsftpd/vsftpd.conf 中通过参数自定义，例如 xferlog_file、dual_log_enable 等。

二 快速定位与常用命令

• 实时查看与检索
  • 实时跟踪 vsftpd 日志：sudo tail -f /var/log/vsftpd.log
  • 检索关键字（如 error）：grep -i "error" /var/log/vsftpd.log
  • 按时间筛选（示例：2025-12-26）：grep "2025-12-26" /var/log/vsftpd.log
  • 统计出现次数：grep "FAILED" /var/log/vsftpd.log | wc -l
• 认证相关
  • 查看失败登录尝试：grep "FAILED" /var/log/auth.log
  • 查看成功登录：grep "Accepted" /var/log/auth.log
• 系统级事件
  • 查看 vsftpd 启动/停止：grep "vsftpd.*starting" /var/log/syslog、grep "vsftpd.*stopped" /var/log/syslog
  • 使用 journalctl 跟踪服务：journalctl -u vsftpd -f
    以上命令可快速定位异常、统计事件频次，并联动系统日志做交叉验证。

三 日志格式与关键字段

• vsftpd.log（服务日志）
  • 用途：记录会话与登录/退出等事件，便于审计连接行为。
  • 特点：文本可读，常与 auth.log 交叉确认认证结果。
• xferlog（标准传输日志）
  • 用途：记录每一次文件传输的明细，便于做流量与用户行为统计。
  • 典型格式（标准 xferlog，字段以空格分隔）：

    Sun Feb 23 22:08:26 2014  6  212.73.193.130  1023575
    /Lille_IconSP/win_230214_52_11.jpg  b  _  i  r  sipafranch  ftp  0  *  c
    

  • 关键字段速查：
    • 第1列：时间戳（如：Sun Feb 23 22:08:26 2014）
    • 第2列：传输耗时（秒，如：6）
    • 第3列：客户端 IP（如：212.73.193.130）
    • 第4列：文件大小（字节，如：1023575）
    • 第5列：文件路径（如：/Lille_IconSP/win_230214_52_11.jpg）
    • 第6列：传输类型（a=ASCII，b=二进制）
    • 第7列：特殊处理标志（_=无；C=压缩；U=未压缩；T=tar）
    • 第8列：方向（i=上传；o=下载）
    • 第9列：访问模式（a=匿名；g=访客；r=本地系统用户）
    • 第10列：用户名（如：sipafranch）
    • 第11列：服务名（一般为 ftp）
    • 第12列：认证方式（0=无；1=RFC931）
    • 第13列：认证用户 ID（*=未知）
    • 第14列：完成状态（i=未完成；c=完成）
      说明：xferlog 为“标准格式”，便于用 awk/sed 做字段切分与统计。

四 高频分析场景与命令示例

• 统计某用户登录次数
  • grep "USER" /var/log/vsftpd.log | grep "alice" | wc -l
• 统计失败登录 Top N IP
  • grep "FAILED" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head
• 今日总传输次数
  • awk -v d="$(date +%b\ %d)" '$1" "d{count++} END{print count+0}' /var/log/xferlog
• 今日总下载流量（字节）
  • awk -v d="$(date +%b\ %d)" '$1" "d && $8=="o"{sum+=$4} END{print sum}' /var/log/xferlog
• 今日各用户下载量排行
  • awk -v d="$(date +%b\ %d)" '$1" "d && $8=="o"{u[$10]+=$4} END{for(i in u)print u[i],i}' /var/log/xferlog | sort -nr
• 实时观察某 IP 的活动
  • tail -f /var/log/vsftpd.log | grep "203.0.113.45"
    以上示例可组合日期、用户、方向、状态等条件，快速得到连接、失败尝试、传输量与趋势。

五 日志轮转与长期分析

• 使用 logrotate 自动轮转
  • 新建配置 /etc/logrotate.d/vsftpd：

    /var/log/vsftpd.log {
      daily
      rotate 7
      compress
      missingok
      notifempty
      create 0640 root adm
    }
    

  • 验证与强制执行：sudo logrotate -f /etc/logrotate.d/vsftpd
• 集中化与可视化
  • 小规模可用 Logwatch 做日/周报摘要。
  • 中大规模建议接入 ELK Stack（Elasticsearch + Logstash + Kibana） 或 Graylog，实现索引、检索、可视化与告警。
    通过轮转避免磁盘被占满，借助集中化平台提升检索与可视化效率。