我正在尝试分析我的 FTP 日志以调查一些未经授权的访问,但我无法理解最右边的一些列。
Thu Oct 01 00:13:55 2009 0 92.54.102.153 2547 /home/user1/public_html/index.html a _ o r user1 ftp 1 * c
Thu Oct 01 00:13:58 2009 0 77.252.189.148 2606 /home/user1/public_html/index.html a _ i r user1 ftp 1 * c
我找不到有关如何读取这些日志的任何文档。
答案1
这里是描述日志格式的网站。它很好地描述了日志文件中每个字段的含义。
答案2
该日志文件格式称为 xferlog:
ProFTP 的 xferlog 的默认格式每行包含以下信息:
当前时间
- 2024 年 4 月 19 日星期五 13:18:51
传输时间
- 整秒
远程主机 文件大小
- 传输文件的大小(以字节为单位)
文件名 转移型
- a = ASCII;b = 二进制
特殊行动旗帜
- C = 压缩;U = 未压缩;T = tar'ed;_ = 未采取任何措施
方向
- o = 传出;i = 传入;d = 已删除
访问模式
- a = 匿名;r = 真实
用户名 服务名称
- 通常是 ftp
身份验证方法
- 0 = 无;1 = RFC931 身份验证
已认证用户 ID
- 用户 ID 或 '*'
完成状态
- c = 完成;i = 不完成