一、查看日志文件

• 默认路径
  • 服务日志：/var/log/
  • 认证日志：/var/log/
  • 传输详情日志：/var/log/xferlog
• 命令查看
  • cat查看完整日志。
  • less分页查看那个。
  • tail -f实时监控最新日志。

二、分析日志内容

• 基础过滤
  • 搜索特定用户操作：grep "username" /var/log/。
  • 查找失败登录：grep "Failed password" /var/log/。
  • 统计下载次数：grep "RETR" /var/log/ | wc -l。
• 高级分析
  • 统计IP访问频率：awk '{print $5}' /var/log/ | sort | uniq -c | sort -nr。
  • 提取传输文件信息：awk '{print $9, $10}' /var/log/xferlog。
• 日志格式说明
  • 记录登录IP、 用户名、操作类型。
  • 详细记录文件传输路径、时间戳、认证方式等。

三、 工具化分析

• 命令行工具
  • awk提取字段、统计计数。
  • sed替换或删除特定内容。
• 专业工具
  • ELK Stack可视化日志分析， 支持搜索、聚合和图表展示。
  • Splunk企业级日志管理，可处理大规模数据并生成报告。

四、注意事项

• 权限问题需用sudo访问日志文件。
• 中文乱码若日志含中文，可通过修改syslog.conf中syslog_enable=yes并重启服务解决。
• 日志轮转定期用cron清理旧日志：

  # 编辑cron任务
  crontab -e
  # 添加以下内容
  0 0 * * * find /var/log/* -mtime +7 -exec rm {} \;

---