SFTP日志如何查看

SFTP日志查看与定位

一、快速定位日志位置

• SFTP基于SSH，日志通常由sshd写入系统认证日志。常见路径与系统对应关系如下：

• 若不确定日志位置，可先查看sshd是否运行并监听22端口，再依据上表检索对应日志文件。

二、常用查看命令

• 实时查看SSH/SFTP认证日志
  • Debian/Ubuntu：sudo tail -f /var/log/auth.log
  • RHEL/CentOS：sudo tail -f /var/log/secure
  • systemd 系统：sudo journalctl -u sshd -f
• 检索关键字（登录、会话、失败尝试等）
  • grep ‘sftp’ /var/log/auth.log
  • grep ‘Accepted password’ /var/log/auth.log
  • grep ‘Failed password’ /var/log/auth.log
  • grep ‘username’ /var/log/auth.log
• 统计与审计
  • 统计某用户连接次数：awk ‘/username/ { count++} END { print count} ’ /var/log/auth.log
• 网络层抓包（排障用）
  • sudo tcpdump -i any port 22 -w sftp_traffic.pcap（用Wireshark分析）

三、提升日志详细度（可选）

• 修改OpenSSH日志级别与子系统
  • 编辑**/etc/ssh/sshd_config**
    • 使用外部 sftp-server：Subsystem sftp /usr/libexec/openssh/sftp-server -l INFO -f AUTH
    • 或使用内置：Subsystem sftp internal-sftp -l INFO -f AUTH
    • 可同时设置全局：LogLevel INFO
  • 重启服务：sudo systemctl restart sshd
• 将SFTP日志单独落盘（rsyslog）
  • 编辑**/etc/rsyslog.conf**或相应配置片段，增加：
    • auth,authpriv.* /var/log/sftp.log
    • 或按设施分离：auth,authpriv.,local5. /var/log/sftp.log（与sshd_config中-f local5对应）
  • 重启服务：sudo systemctl restart rsyslog
  • 查看：tail -f /var/log/sftp.log
• 日志轮转（避免过大）
  • 建议为**/var/log/sftp.log**配置logrotate，定期压缩归档。

四、chroot与internal-sftp的日志要点

• 使用ChrootDirectory时，默认的 internal-sftp 日志可能不写入/var/log，需要在 chroot 内为 rsyslog 提供 Unix 套接字并单独记录：
  • 在 chroot 目录（如**/home**）创建：mkdir -p /home/dev
  • 在**/etc/rsyslog.conf**增加：$AddUnixListenSocket /home/dev/log
  • 增加日志规则：:programname, isequal, “internal-sftp” /var/log/sftp.log
  • 重启 rsyslog 与 sshd 后生效
  • 注意：若启用SELinux，上述套接字方式可能受限，需要按环境调整策略或改用其他方式记录。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！