在CentOS上监控SFTP（SSH File Transfer Protocol）活动可以通过多种方法实现，包括使用系统日志、审计工具和第三方监控解决方案。以下是一些常见的方法：

1. 使用系统日志

CentOS默认会记录SSH和SFTP活动到系统日志中。你可以通过查看这些日志来监控SFTP活动。

查看SSH日志

SSH和SFTP活动通常记录在/var/log/secure文件中。你可以使用以下命令查看日志：

sudo tail -f /var/log/secure

这个命令会实时显示日志文件的最新条目。你可以使用grep命令来过滤特定的SFTP活动：

sudo grep 'sftp-server' /var/log/secure

2. 使用审计工具

CentOS提供了强大的审计工具auditd，可以用来监控和记录系统调用和文件访问。

安装和配置auditd

首先，安装auditd：

sudo yum install audit

然后，启动并启用auditd服务：

sudo systemctl start auditd
sudo systemctl enable auditd

配置审计规则

你可以配置auditd来监控SFTP活动。编辑/etc/audit/audit.rules文件，添加以下规则：

-a exit,always -F arch=b64 -S open -S openat -S creat -S creatat -S write -S writev -S pread -S pwrite -S mmap -S munmap -S ftruncate -S truncate -S fadvise64_64 -S fstat -S lstat -S stat -k sftp
-a exit,always -F arch=b32 -S open -S openat -S creat -S creatat -S write -S writev -S pread -S pwrite -S mmap -S munmap -S ftruncate -S truncate -S fadvise64_64 -S fstat -S lstat -S stat -k sftp

这些规则会监控与文件操作相关的系统调用，并将它们标记为sftp。

查看审计日志

审计日志通常记录在/var/log/audit/audit.log文件中。你可以使用以下命令查看日志：

sudo ausearch -k sftp

3. 使用第三方监控解决方案

如果你需要更高级的监控功能，可以考虑使用第三方监控解决方案，如Prometheus和Grafana。

安装Prometheus和Grafana

你可以使用以下命令安装Prometheus和Grafana：

sudo yum install prometheus grafana

配置Prometheus

编辑/etc/prometheus/prometheus.yml文件，添加一个节点 exporter来收集系统指标：

scrape_configs:
  - job_name: 'node'
    static_configs:
      - targets: ['localhost:9100']

然后，启动Prometheus服务：

sudo systemctl start prometheus
sudo systemctl enable prometheus

配置Grafana

启动Grafana服务：

sudo systemctl start grafana-server
sudo systemctl enable grafana-server

在Grafana中添加Prometheus作为数据源，并创建仪表盘来监控SFTP活动。

总结

通过查看系统日志、使用审计工具和第三方监控解决方案，你可以有效地监控CentOS上的SFTP活动。选择哪种方法取决于你的具体需求和环境。