新手必看:宝塔面板安全日志查看教程(解析日志含义与实
安全日志在哪看?宝塔面板操作路径
登录宝塔面板后台,在左侧菜单找到 安全 选项。
点击进入后,你会看到两个常用安全日志入口:
- 防火墙日志:记录Nginx防火墙拦截的攻击请求、CC攻击、恶意扫描等。
- SSH登录日志:记录所有SSH远程登录尝试(成功/失败)。
查看防火墙日志
- 在安全页面中,点击 防火墙 选项卡。
- 向下滚动至 日志 区域,默认显示最近100条记录。
- 支持按时间筛选、按IP搜索。
!
[](https://placeholder-image.com/bt-firewall-log.png)
查看SSH登录日志
- 返回安全页面,点击 SSH管理。
- 在 登录日志 标签下,可看到最近200条登录记录。
- 包含登录IP、时间、结果(成功/失败)。
如何解读安全日志(关键字段说明)
防火墙日志字段
- 时间:攻击发生时间(注意服务器时区设置)。
- IP:发起请求的源IP地址。
- 规则:触发拦截的规则名称(如“禁止访问phpmyadmin”)。
- URI:请求的路径,帮判断是扫描器还是真实访问。
SSH登录日志字段
- IP:登录来源IP。
- 端口:SSH端口(默认22)。
- 结果:Success 或 Failed。如果连续出现大量Failed,说明正被暴力破解。
小提示:WinSCP或系统日志文件(/var/log/secure)也包含更详细的输出,但宝塔已做汇总,新手直接看面板即可。实战:通过日志排查恶意IP与误封
场景1:发现服务器CPU突然飙高,怀疑被CC攻击
- 进入防火墙日志,按时间排序,查看是否有大量来自同一IP的请求。
- 复制该IP,点击 封禁IP(防火墙页面内),选择封禁时长(建议3600秒)。
- 继续观察日志,若攻击停止说明有效。
场景2:用户反馈无法访问网站,怀疑被误封
- 在防火墙日志中搜索用户IP。
- 如果看到该IP被拦截的记录(规则如“禁止访问后台”),可以点击 解封IP。
- 然后调整对应规则(如白名单用户IP段)避免再次误封。
场景3:怀疑SSH密码被暴力破解
- 查看SSH登录日志,统计失败次数。
- 若某IP失败超过10次,立即封禁该IP。
- 修改SSH端口(安全 > SSH管理 > 设置)为非标准端口,并禁用密码登录、改用密钥。
高频问题与避坑(日志不记录、时间不同步等)
问题1:防火墙日志显示空白
- 原因:未开启Nginx防火墙插件(宝塔免费插件“Nginx防火墙”需手动安装)。
- 解决:在软件商店搜索“Nginx防火墙”,安装并开启后,日志才会开始记录。
问题2:SSH登录日志只显示最近200条,查不到历史记录
- 原因:面板默认截取文件后200行。
- 解决:在服务器终端使用命令
cat /var/log/secure | grep -i failed | tail -1000查看更早记录(需SSH权限)。
问题3:日志时间与本地时间不一致
- 回坑:服务器默认时区为UTC,中国可设置为Asia/Shanghai。
- 修复:在面板左侧 设置 > 系统 > 时区 选择“Asia/Shanghai”,保存后重查日志。
效果验证:确认操作生效
完成上述任意一项操作后,建议执行以下验证:
- 重新注入攻击或访问(模拟被拦截IP),看防火墙日志是否实时更新。
- 解封IP后,让对应用户再次访问网站,确认状态码为200。
- 查看SSH登录日志,确认暴力IP已被封禁且不再出现新记录。
你还可以在面板首页的 负载状态 观察系统资源是否恢复正常。
如果日志仍不显示,请检查插件版本是否需要更新。
总结
宝塔面板安全日志查看是运维基本功,本文已完整覆盖查看入口、解析字段、实战排查和避坑要点。
如果你正在处理类似问题,建议先按步骤完整执行,再根据自己的环境做微调;
遇到异常时优先回看避坑和高频问题部分。
掌握这些方法,服务器安全性会明显提升。
