要启用vsftpd日志,需修改其配置文件/etc/vsftpd/vsftpd.conf,关键参数如下:
xferlog_enable=YES(必选,控制是否记录文件传输日志);xferlog_file=/var/log/vsftpd/xferlog(自定义日志文件路径,需确保目录存在);xferlog_std_format=YES(使用标准xferlog格式,便于工具解析);connect_from_port_20=YES(确保数据连接使用端口20,提升日志准确性)。确保日志文件所在目录存在且具备正确权限:
sudo mkdir -p /var/log/vsftpd # 创建日志目录
sudo chown ftp:ftp /var/log/vsftpd # 设置目录属主为ftp用户(vsftpd默认运行用户)
sudo chmod 755 /var/log/vsftpd # 设置目录权限(所有者可读写执行,其他用户可读执行)
配置生效后,重启vsftpd服务使更改生效:
sudo systemctl restart vsftpd # CentOS 7及以上版本
# 或 sudo service vsftpd restart # CentOS 6及以下版本
tail -f命令跟踪日志文件的新增内容,适用于监控实时活动:sudo tail -f /var/log/vsftpd/xferlog
less或more命令逐页浏览日志,适合详细分析:sudo less /var/log/vsftpd/xferlog # 按上下箭头翻页,q退出
grep命令提取关键日志(如错误、特定IP或用户操作):sudo grep "ERROR" /var/log/vsftpd/xferlog # 查找错误日志
sudo grep "192.168.1.100" /var/log/vsftpd/xferlog # 查找特定IP的连接记录
sudo grep "UPLOAD" /var/log/vsftpd/xferlog # 查找上传操作记录
使用logrotate工具自动管理日志文件的轮转、压缩与清理:
/etc/logrotate.d/vsftpd文件,添加以下配置:/var/log/vsftpd/xferlog {
daily # 每天轮转一次(可改为weekly/monthly)
missingok # 若日志文件丢失,不报错
rotate 7 # 保留最近7个轮转文件
compress # 压缩旧日志(节省空间)
notifempty # 若日志为空,不轮转
create 640 ftp adm # 新日志文件权限为640,属主ftp、属组adm
}
sudo logrotate -f /etc/logrotate.d/vsftpd # 强制立即轮转
awk、sed等工具提取结构化数据(如统计用户连接次数、查找失败登录):awk '/user1/ {count++} END {print "user1连接次数:", count}' /var/log/vsftpd/xferlog # 统计user1的连接次数
awk '/Failed password/ {print $9}' /var/log/vsftpd/xferlog # 提取失败登录的用户名
通过以上步骤,可实现vsftpd日志的有效管理,涵盖配置、查看、维护及分析全流程,确保FTP服务器活动的可追溯性与安全性。
