在Debian系统上开启SFTP日志记录功能对于监控和审计SFTP服务器的操作至关重要。本文将详细介绍如何在Debian上实现SFTP日志记录， 包括SSH和rsyslog配置，SFTP子系统设置等。

准备工作

在开始之前，请确保你已经安装了SSH服务器和rsyslog。

sudo apt-get update
sudo apt-get install openssh-server rsyslog

修改SSH配置

先说说我们需要修改SSH配置文件以启用SFTP日志记录。使用以下命令打开SSH配置文件：

sudo nano /etc/ssh/sshd_config

找到以下行并取消注释：

Subsystem sftp /usr/libexec/openssh/sftp-server

然后 添加以下行以启用SFTP日志记录：

LogLevel INFO
Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f local5

这将启用SFTP子系统的日志记录，并将日志记录到rsyslog。

配置rsyslog

接下来我们需要配置rsyslog以处理SFTP日志。使用以下命令打开rsyslog配置文件：

sudo nano /etc/rsyslog.conf

$ModLoad imfile
$ModLoad imuxsock
$ModLoad imtcp
$ModLoad imklog
$ModLoad systemd
$ModLoad immark
$ModLoad imjournal
$LoadModule imfile
$LoadModule imuxsock
$LoadModule imtcp
$LoadModule imklog
$LoadModule systemd
$LoadModule immark
$LoadModule imjournal
$钱基金ileInclude /var/log/auth.log
$钱基金ileInclude /var/log/auth.log.old
$钱基金ileInclude /var/log/auth.log.1
$钱基金ileInclude /var/log/auth.log.2
$钱基金ileInclude /var/log/auth.log.3
$钱基金ileInclude /var/log/auth.log.4
$钱基金ileInclude /var/log/auth.log.5
$钱基金ileInclude /var/log/auth.log.6
$钱基金ileInclude /var/log/auth.log.7

然后添加以下行以指定SFTP日志文件的路径：

$钱基金ile /var/log/sftp.log

这将使rsyslog处理SFTP日志文件。

重启服务

为了使更改生效， 我们需要重启SSH和rsyslog服务：

sudo systemctl restart ssh
sudo systemctl restart rsyslog

验证配置

现在SFTP日志记录功能已在Debian系统上启用。你可以在/var/log/sftp.log文件中查看SFTP相关的日志信息。要查看实时日志， 可以使用以下命令：

sudo tail -f /var/log/sftp.log

通过以上步骤，你已经在Debian系统上成功启用了SFTP日志记录功能。这有助于监控和审计SFTP服务器的操作，从而提高平安性。如果你有任何疑问或建议，请随时在评论区留言。

---