vsftp日志xferlog格式分析

1、开始vsftp记录日志。修改/etc/vsftpd/vsftpd.conf 如下：

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog

FTP服务器的日志设置，可以通过修改主配置文件/etc/vsftpd.conf实现。主配置文件中与日志设置有关的选项包括xferlog_enable 、xferlog_file 和dual_log_enable 等。

xferlog_enable

如果启用该选项，系统将会维护记录服务器上传和下载情况的日志文件。默认情况下，该日志文件为 /var/log/vsftpd.log。但也可以通过配置文件中的 vsftpd_log_file 选项来指定其他文件。默认值为NO。

xferlog_std_format

如果启用该选项，传输日志文件将以标准 xferlog 的格式书写，该格式的日志文件默认为 /var/log/xferlog，也可以通过 xferlog_file 选项对其进行设定。默认值为NO。

dual_log_enable

如果启用该选项，将生成两个相似的日志文件，默认在 /var/log/xferlog 和 /var/log/vsftpd.log 目录下。前者是 wu-ftpd 类型的传输日志，可以利用标准日志工具对其进行分析；后者是Vsftpd类型的日志。

syslog_enable

如果启用该选项，则原本应该输出到/var/log/vsftpd.log中的日志，将输出到系统日志中。

常见的日志解决方案如下：

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log

该方案将xferlog_enable设置为YES，表明FTP服务器记录上传下载的情况，而将xferlog_std_format也设置为YES，则表明将记录的上传下载情况写在xferlog_file所指定的文件中，即/var/log/xferlog文件。

同时，该方案启用dual_log_enable，表明启用了双份日志。在用xferlog文件记录服务器上传下载情况的同时，vsftpd_log_file所指定的文件，即/var/log/vsftpd.log，也将用来记录服务器的传输情况。

2、/var/log/xferlog 实例：

Sun Feb 23 21:14:36 2014 4 212.73.193.130 915950 /LilleOL_IconSport4/win_230214_51_19.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 21:14:46 2014 5 212.73.193.130 1018969 /LilleOL_IconSport4/win_230214_51_18.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:44 2014 1 212.73.193.130 189 /Lille_IconSP/message_46263.txt b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:49 2014 4 212.73.193.130 891359 /Lille_IconSP/win_230214_84_80.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:54 2014 4 212.73.193.130 874509 /Lille_IconSP/win_230214_52_15.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:59 2014 4 212.73.193.130 862666 /Lille_IconSP/win_230214_52_12.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:04 2014 4 212.73.193.130 726242 /Lille_IconSP/win_230214_52_13.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:09 2014 4 212.73.193.130 833576 /Lille_IconSP/win_230214_84_77.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:15 2014 5 212.73.193.130 1009117 /Lille_IconSP/win_230214_84_78.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:20 2014 4 212.73.193.130 507537 /Lille_IconSP/win_230214_84_79.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:26 2014 6 212.73.193.130 1023575 /Lille_IconSP/win_230214_52_11.jpg b _ i r sipafranch ftp 0 * c

3、每列含义：

Sun Feb 23 22:08:26 2014 | 6 | 212.73.193.130 | 1023575 | /Lille_IconSP/win_230214_52_11.jpg | b| _| i| r| sipafranch| ftp| 0| *| c

记录 含义
Sun Feb 23 22:08:26 2014 FTP传输时间
6 传输文件所用时间。单位/秒
212.73.193.130 ftp客户端名称/IP
1023575 传输文件大小。单位/Byte
/Lille_IconSP/win_230214_52_11.jpg 传输文件名，包含路径
b 传输方式： a以ASCII方式传输; b以二进制(binary)方式传输;
_ 特殊处理标志位："_"不做任何处理；"C"文件是压缩格式；"U"文件非压缩格式；"T"文件是tar格式；
i 传输方向："i"上传；"o"下载；
r 用户访问模式：“a”匿名用户；"g"访客模式；"r"系统中用户;
sipafranch 登录用户名
ftp 服务名称，一般都是ftp
0 认证方式："0"无；"1"RFC931认证；
* 认证用户id，"*"表示无法获取id
c 完成状态："i"传输未完成；"c"传输已完成；

————————————————
版权声明：本文为CSDN博主「奋斗码农」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/xufei512/article/details/52037273