FAQ- / Wissensdatenbank
Home » Kategorien » Mehrere Kategorien

Wie analysiere ich das FTP-Logfile (proftpd) /var/log/xferlog?

Artikel-Nr: 208 | Bewertung: 2.7/5 von 11 Stimmen | Letzte Aktualisierung: Wed, Nov 16, 2016 4:03 PM

 

Format des Logfiles

Die Analyse des Transferlogfiles von proftpd ist ohne Referenz leider etwas mühsam. Wir verwenden folgende Zeile als Beispiel zur Analyse eines Eintrags in /var/log/xferlog:

Sat Oct 18 11:30:06 2008 10 99.99.99.99 267650 /var/www/web999/html/bild.jpg b _ o r web999 ftp 0 * c

BereichErklärungWerte
Sat Oct 18 11:30:06 2008 Zeitstempel des Transfervorgangs -
10 Transferzeit in Sekunden -
99.99.99.99 IP-Adresse des FTP-Clients (Remote Host) -
267650 Zahl der übertragenen Bytes -
/var/www/web999/html/index.php Betroffene Datei  
b Transfertyp a (ASCII/Text)
b (binär)
_ Special Action Flag _ (keine Aktion)
C (komprimiert)
U (dekomprimiert)
o Richtung das Transfers aus Serversicht i (eingehend)
o (ausgehend)
d (gelöscht [keine Richtung])
r Zugriffsmodus a (anonym)
r (Benutzername)
web999 Benutzername -
ftp Name des Serverdienstes -
0 Authentifizierungs-Methode 0 (keine besondere)
1 (RFC931 Authentifizierung)
* User-ID (oder *) -
c Status c (vollständig ausgeführt)
i (unvollständig ausgeführt)

Analyse des Logfiles

Um das Logfile bzw. den Datentransfer via FTP zu analysieren, empfehlen sich folgende Befehle:

Alle Aktionen, die abgebrochen wurden, haben an letzter Stelle des Eintrags ein "i" für "incomplete". Wir verwenden ein einfaches egrep, um entsprechende Zeilen anzuzeigen:

egrep "i$" /var/log/xferlog

Alle abgebrochenen Uploads können haben als Richtungsangabe "i" für "incoming" und wie erwähnt ein "i" am Ende der Zeile für "incomplete":

awk ’($12 ~ /^i$/ && $NF ~ /^i$/){print $9}’ /var/log/xferlog

Alle erfolgreichen Uploads können wir ebenso abfragen. Sie haben als Richtungsangabe ebenfalls ein "i" für "incoming", jedoch ein "c" am Ende der Zeile für "complete":

awk ’($12 ~ /^i$/ && $NF ~ /^c$/){print $9}’ /var/log/xferlog

Alle Löschaktionen haben als Richtungsangabe ein "d" für "delete". Mit folgendem Befehl werden diese gefiltert:

awk ’($12 ~ /^d$/){print $9}’ /var/log/xferlog

Alle Löschaktionen eines Benutzers mit Zeitangabe werden wie folgt angezeigt:

awk ’($12 ~ /^d$/){print $3 $2 $5 $4 $9}’ /var/log/xferlog | grep web999

 
Geschrieben - Wed, Apr 25, 2012 8:35 AM.
Abgelegt unter: Basiswissen, vServer, vServer Linux
2.73 (11)
Bewertung (11 Stimmen)
Bewerten Sie diesen Aritkel
    Anhänge
    Es gibt keine Anhänge zu diesem Artikel.
    Verwandte Artikel RSS Feed
    Warum werden versteckte Dateien (z.B. .htaccess) nicht von meinem FTP-Client angezeigt?
    Hinzugefügt am Tue, Jan 12, 2010
    Wo finde ich die PHP-Dokumentation?
    Hinzugefügt am Sat, Aug 16, 2008
    Weshalb erhalte ich beim Email-Abruf mit Opera die Fehlermeldung "POP authentication db not available"?
    Hinzugefügt am Wed, Feb 6, 2013
    Wie kann ich erreichen, dass beim Navigieren auf meiner Seite nur die Domain in der Adressezeile des Browsers steht?
    Hinzugefügt am Tue, Aug 19, 2008
    Wie kann ich das Administrator-Passwort für den Joomla Login neu vergeben?
    Hinzugefügt am Wed, Apr 28, 2010
    Webspace-Verkauf.de | News | TicketSystem | Server-Status | Info- & Support-Telefon | Hilfe per Fernzugriff | Datenschutz | Impressum