centos vsftp日志分析技巧

定位日志与确认配置

• 常见日志路径与用途：
  • /var/log/vsftpd.log：vsftpd 服务日志（登录、退出、权限拒绝等）。
  • /var/log/vsftpd/xferlog：传输日志（上传/下载明细），由 xferlog_enable=YES 控制是否记录。
  • 某些系统或配置下，日志可能写入 /var/log/messages 或 /var/log/syslog，可用 grep -i vsftp /var/log/messages 或 grep -i vsftpd /var/log/syslog 快速确认。
• 快速定位配置与日志路径：
  • 查看配置：grep -E "^(xferlog_enable|xferlog_file|xferlog_std_format|dual_log_enable|syslog_enable)" /etc/vsftpd/vsftpd.conf
  • 若修改了日志路径，重启服务生效：systemctl restart vsftpd
• 建议的最小配置（便于分析）：
  • xferlog_enable=YES
  • xferlog_file=/var/log/vsftpd/xferlog
  • xferlog_std_format=YES
  • 如需同时记录会话与传输，可开启：dual_log_enable=YES
  • 如需写入系统日志：syslog_enable=YES。

日志格式与关键字段

• xferlog（标准传输日志）典型一行：
  • 示例：Sun Feb 23 22:08:26 2014 6 212.73.193.130 1023575 /path/file.jpg b _ i r sipafranch ftp 0 * c
  • 字段含义（按顺序）：
    • 时间戳：发生时间（如：Sun Feb 23 22:08:26 2014）
    • 传输耗时（秒）：6
    • 客户端IP：212.73.193.130
    • 文件大小（字节）：1023575
    • 文件路径：/path/file.jpg
    • 传输类型：b（二进制）/ a（ASCII）
    • 特殊处理标志：_（无）/ C（压缩）/ U（非压缩）/ T（tar）
    • 方向：i（上传）/ o（下载）
    • 用户模式：a（匿名）/ g（访客）/ r（本地系统用户）
    • 用户名：sipafranch
    • 服务名：ftp
    • 认证方式：0（无）/ 1（RFC931）
    • 认证用户ID：*（未知）
    • 完成状态：c（完成）/ i（未完成）
• vsftpd.log（会话日志）关注要点：
  • 常见关键字：CONNECT、USER、PASS、LOGIN、LOGOUT、CWD、RETR（下载）、STOR（上传）、DELE、MKD、RMD、以及错误类 530、550、500 OOPS 等。

常用命令与快速分析

• 实时查看与检索：
  • 实时会话：tail -f /var/log/vsftpd.log
  • 实时传输：tail -f /var/log/vsftpd/xferlog
  • 检索关键字：grep "530 Login incorrect" /var/log/vsftpd.log
• 按时间筛选今天记录（示例思路，按系统时间格式调整）：
  • awk -v d="$(date '+%b %d')" '$0 ~ d' /var/log/vsftpd.log
• 传输统计与排行：
  • 今日总下载量（字节）：awk '$9 ~ /o/ {sum+=$8} END {print sum}' /var/log/vsftpd/xferlog
  • 今日总上传量（字节）：awk '$9 ~ /i/ {sum+=$8} END {print sum}' /var/log/vsftpd/xferlog
  • 下载次数：grep -c "RETR " /var/log/vsftpd.log
  • 上传次数：grep -c "STOR " /var/log/vsftpd.log
  • Top 10 客户端IP（下载）：awk '$9 ~ /o/ {ip[$5]++} END {for(i in ip) print ip[i],i}' /var/log/vsftpd/xferlog | sort -nr | head
  • Top 10 用户（上传）：awk '$9 ~ /i/ {u[$10]++} END {for(i in u) print u[i],i}' /var/log/vsftpd/xferlog | sort -nr | head
• 失败与异常排查：
  • 登录失败：grep "530 Login incorrect" /var/log/vsftpd.log | awk '{ip[$5]++} END {for(i in ip) print ip[i],i}' | sort -nr
  • 权限或路径错误：grep "550" /var/log/vsftpd.log
  • 服务级错误：grep "500 OOPS" /var/log/vsftpd.log
• 结果可读性增强：
  • 以MB显示：`awk ‘$9 ~ /o/ {sum+=$8} END {printf “%.2f MB\n”, sum/1024/1024}’ /var/log/vsftpd/xferlog。

可视化与长期分析

• 使用 ELK Stack（Elasticsearch + Logstash + Kibana）：
  • Logstash 示例（按实际日志格式调整 grok 模式）：
    • input: file { path => "/var/log/vsftpd.log" start_position => "beginning" }
    • filter: 可使用 grok 解析 vsftpd 或 xferlog 行，配合 date 解析时间字段
    • output: elasticsearch { hosts => ["localhost:9200"] index => "vsftpd-logs-%{+YYYY.MM.dd}" }
  • 在 Kibana 中建立索引模式与可视化图表（登录趋势、上传/下载流量、Top IP/用户等）。
• 其他方案：
  • 使用 rsyslog 集中收集，或将日志导入 Graylog 进行告警与报表。

日志轮转与合规留存

• 创建或编辑 /etc/logrotate.d/vsftpd：
  • 示例（按日轮转，保留 7 天，压缩，权限 640 root adm）：

    /var/log/vsftpd/*.log {
        daily
        missingok
        rotate 7
        compress
        notifempty
        create 640 root adm
    }
    

  • 强制执行一次轮转：logrotate -f /etc/logrotate.d/vsftpd
• 修改日志路径后，确保目录存在且 vsftpd 有写权限，例如：
  • mkdir -p /var/log/vsftpd && chown vsftpd:vsftpd /var/log/vsftpd && chmod 755 /var/log/vsftpd
• 修改 vsftpd 配置后重启：systemctl restart vsftpd。