温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

SFTP在Linux中的日志管理怎么做

小樊
38
2025-11-23 05:54:50
栏目: 智能运维

Linux SFTP日志管理实操指南

一 日志位置与快速查看

  • SFTP基于SSH,日志默认随SSH记录。常见路径与命令如下:
系统/发行版 默认日志文件 常用查看命令
Debian/Ubuntu /var/log/auth.log `sudo tail -f /var/log/auth.log
RHEL/CentOS /var/log/secure `sudo tail -f /var/log/secure
使用systemd的系统 通过journal `sudo journalctl -u sshd.service -f
部分系统 /var/log/syslog `sudo tail -f /var/log/syslog
  • 提示:若不确定日志路径,可先查看/var/log/下对应文件,或使用journalctl检索sshd单元日志。

二 记录级别与输出目标配置

  • 方式A 调整SFTP子系统日志级别(推荐)
    • 编辑**/etc/ssh/sshd_config**,在Subsystem sftp行指定日志级别与设施(facility):
      • 示例(使用内部SFTP并输出到local5):
        Subsystem sftp internal-sftp -l INFO -f local5
      • 示例(使用外部sftp-server并设为DEBUG3):
        Subsystem sftp /usr/libexec/openssh/sftp-server -l DEBUG3
    • 说明:-l为日志级别(如INFOVERBOSEDEBUG3),-f为syslog设施(如local5)。修改后重启SSH服务生效。
  • 方式B 调整全局SSH日志级别
    • 在**/etc/ssh/sshd_config**设置:
      LogLevel VERBOSE
    • 说明:会影响SSH整体日志详细程度,谨慎在生产环境使用高等级。

三 将SFTP日志单独归集到文件

  • 当SFTP使用独立设施(如local5)时,可用rsyslog将其单独写入文件:
    1. 编辑**/etc/rsyslog.conf或新建/etc/rsyslog.d/50-sftp.conf**,添加:
      local5.*    /var/log/sftp.log
    2. 重启服务:
      sudo systemctl restart rsyslog
sudo systemctl restart sshd
    3. 验证:
      sudo tail -f /var/log/sftp.log
  • 若未使用独立设施,可继续将认证类日志写入**/var/log/auth.log/var/log/secure**,并按需过滤关键字“sftp”。

四 日志轮转与保留策略

  • 使用logrotate管理日志体积与保留期,示例(适配**/var/log/secure/var/log/sftp.log**):
    /var/log/secure {
    daily
    rotate 365
    missingok
    notifempty
    create 0600 root root
    compress
    delaycompress
    sharedscripts
    postrotate
        /bin/systemctl reload rsyslog.service >/dev/null 2>&1 || true
    endscript
}

/var/log/sftp.log {
    daily
    rotate 365
    missingok
    notifempty
    create 0644 root root
    compress
    delaycompress
    sharedscripts
    postrotate
        /bin/systemctl reload rsyslog.service >/dev/null 2>&1 || true
    endscript
}
  • 测试配置(不真正轮转):
    sudo logrotate -d /etc/logrotate.d/secure
  • 要点:设置合适的保留天数(如365天)、压缩与权限,确保日志采集进程能正确reload。

五 审计增强与安全联动

  • 文件访问审计(auditd)
    • 监控SFTP根目录或数据目录的读写:
      sudo auditctl -w /data/sftp -p wa -k sftp_monitor
    • 查询审计事件:
      sudo ausearch -k sftp_monitor
  • 入侵防护联动(fail2ban)
    • 基于认证失败日志自动封禁恶意IP(以**/var/log/auth.log**为例):
      [sftp]
enabled  = true
port     = sftp
filter   = sftp
logpath  = /var/log/auth.log
bantime  = 600
findtime = 600
maxretry = 3
  • 集中化分析与可视化
    • 将**/var/log/auth.log**、/var/log/secure或**/var/log/sftp.log接入ELK/Graylog/Splunk**等平台,实现告警、报表与溯源。

0

最新问答

相关问答

相关标签

windows engine Windows7 win2012服务器 linux服务器 nginx win7 spring ping spring框架 input值 ping域名 win0 InnoD win2012 云服务器win2012 win服务器 win2008 win8.1 spring mvc
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529