宝塔面板网站访问日志分析：宝塔面板日志分析从零开始

知识分享

2026-05-18 02:00

4 阅读

日志文件藏在哪？先找到宝塔的访问日志

宝塔面板默认会将每个站点的访问日志（包括正常访问和错误访问）记录在服务器硬盘上。
对新手来说，最直观的路径是通过宝塔后台界面查看：

如果喜欢用命令行，日志实际存储在 /www/wwwlogs/ 目录下，文件名通常为 你的域名.log（如 example.com.log）。
你可以使用 tail -f /www/wwwlogs/你的域名.log 实时查看最新请求。

打开日志后，你可能看到类似这样的记录：

192.168.1.100 - - [22/Oct/2023:10:15:30 +0800] "GET /index.html HTTP/1.1" 200 1234 "-" "Mozilla/5.0 ..."

这行日志从左到右分别表示：

重点看状态码：4xx 系列（尤其是 404、
403）可能意味着有人扫描你网站的漏洞；5xx 系列 表示程序或配置有问题；200 但请求数量异常多 可能是遭受 CC 攻击或爬虫过度访问。

零基础用户可以先从宝塔面板下载日志文件，用记事本查看；
但日志一大就卡，推荐使用简单的 Linux 命令在服务器上过滤：

查看最近的 100 次请求：tail -100 /www/wwwlogs/你的域名.log
筛选所有 404 请求：grep " 404 " /www/wwwlogs/你的域名.log
统计每个 IP 的访问次数（前十）：awk '{print $1}' /www/wwwlogs/你的域名.log | sort | uniq -c | sort -rn | head -10
查看某个 IP 的完整访问记录：grep "192.168.1.100" /www/wwwlogs/你的域名.log

这些命令直接在宝塔面板的终端工具里运行即可。
如果你不熟悉命令，也可以安装 宝塔的“网站监控报表”插件（付费），它会自动生成图表和统计报表，免去敲命令的麻烦。

宝塔默认不自动清理访问日志，如果网站访问量大，日志文件可能快速增长，占满 /www 分区导致网站报错。建议立即做两件事：

开启日志自动切割：在宝塔面板 → 网站 → 设置 → 网站日志中，勾选“按天生成日志文件”并设置保留天数（比如30天）。
定期手动压缩旧日志：执行命令 find /www/wwwlogs/ -name "*.log" -mtime +30 -exec gzip {} \; 将30天前的日志压缩成 .gz 文件，可以节省大量空间。
设置磁盘告警：在面板 → 监控 → 告警通知中，添加“磁盘使用率超过80%”的告警，避免意外。

另一个常见坑是 错误日志（error.log）和访问日志（access.log）混在一起看。
分析性能问题时优先看 error.log；
分析访问量、威胁时看 access.log。

当你通过日志分析发现某个IP请求特别多（比如每秒超过几十次）、或者大量访问不存在的路径（如 wp-admin、/admin 等），基本可以判定是恶意扫描或攻击。
验证方法：

最后，
对比封禁前后日志中的异常请求数量：
再次执行 grep " 404 " /www/wwwlogs/你的域名.log | wc -l，
如果数值明显下降，
说明步骤生效。

避坑提醒：不要单纯因为看到大量 404 就封IP——有些 404 是第三方服务回调（如微信支付、阿里云CDN），需要先核对 User-Agent 是否为合法服务商。

如果你正在处理宝塔面板网站访问日志分析，建议先按本文步骤完整执行，再根据自己的环境做微调；
遇到异常时优先回看避坑和高频问题部分。