Entendendo logs FTP
- Gustavo Viana
- Linux , Monitoração , Windows
- 9 de janeiro de 2024
O FTP é um protocolo de parte vital na administração de servidores. Os logs FTP registram informações sobre as interações entre os clientes e o servidor, fornecendo dados importantíssimos para a análise de tráfego, identificação de atividades suspeitas, compreensão do uso servidor e realização de respostas a incidentes. Neste post vamos entender como realizar a leitura destes logs de maneira simples e rápida!
Onde ficam os logs FTP
Por padrão, os logs FTP são armazenados em arquivos de texto em um diretório específico no servidor. A localização desses arquivos varia de acordo com o sistema operacional utilizado. Aqui estão alguns exemplos das localizações comuns para os logs FTP:
No Linux
- /var/log/proftpd/xferlog
- /var/log/messages
- /var/log/proftpd/proftpd.log
- /var/log/ftp.log
No Windows
- C:\inetpub\logs\LogFiles\FTPSVC
Exemplo de log FTP no Linux
Vamos ver um exemplo de log FTP e como realizar a leitura do mesmo.
O log de exemplo será um upload realizado pelo usuário ironlinux:
Tue Jan 09 16:30:48 2024 0 189.121.203.20 16 /home/ironlinux/lala.txt a _ i r ironlinux ftp 0 * c
Entendendo Logs FTP no Linux
Exemplo de log FTP no Windows
Da mesma forma, vamos ver um trecho de log de FTP no Windows e realizar a explicação do mesmo:
2024-01-09 23:38:02 255.255.255.255 33143 IRON\ironlinux 256.256.256.256 21 LIST - 226 0 0 /
2024-01-09 23:38:05 255.255.255.255 33143 IRON\ironlinux 256.256.256.256 21 STOR teste.txt 226 0 0 /teste.txt
2024-01-09 23:38:10 255.255.255.255 33143 IRON\ironlinux 256.256.256.256 21 RETR teste.txt 226 0 0 /teste.txt
2024-01-09 23:39:55 255.255.255.255 50872 IRON\ironlinux 256.256.256.256 21 DELE teste.txt 250 0 0 30 12 0 /teste.txt
Entendendo Logs FTP no Windows
Alguns exemplos de possíveis Ações tomadas:
| Ação | Descrição |
|---|---|
| LIST | Lista os arquivos de determinado diretório (ls) |
| STOR | Envia um arquivo para o servidor (put) |
| RETR | Baixa um arquivo do servidor (get) |
| DELE | Remove um arquivo do servidor (del) |
A lista completa de substatus-codes e FTP Status Codes pode ser vista em: https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/iis/ftp-service-svchost-inetinfo/ftp-status-codes-iis-7-and-later-versions
Considerações finais
Cada entrada nos logs FTP registra o endereço IP do cliente que está se conectando ao servidor. Essa informação é valiosa para rastrear atividades suspeitas.
Também há o registro de quais comandos foram enviados pelo cliente para interagir com o servidor FTP, como LIST, RETR, STOR, DELE, entre outros. Esses comandos são essenciais para entender as ações realizadas pelos usuários.
Como podemos ver, os logs são de extrema importância e sem eles, não há detecção de anomalias ou monitoração de atividades.
Por fim, agradecemos a leitura e esperamos que este post tenha te ajudado de alguma maneira! Caso tenha alguma dúvida, entre em contato conosco pelo Telegram , Facebook ou Instagram ! Veja mais posts no IronLinux !
