Формат файла xferlog иногда вызывает затруднения, так как изначально писался не для людей, а для машинного анализа. Тем не менее, ничего сложного там нет. Рассказываю.

Рассмотрим запись:

Sat Jul 22 08:15:35 2017 0 10.1.1.2 15220 /kaka/baka.php b _ o r ftpuser ftp 0 * c

Начнём по порядку слева направо:

1. "Sat Jul 222 08:15:35 2017" - это дата и время выполнения FTP-операции
2. "0" - количество секунд, в течение которых выполнялась операция.
3. "10.1.1.2" - IP адрес FTP-клиента, с которого выполнялась операция.
4. "15220" - размер в байтах, который был передан между FTP-клиентом и FTP-сервером во время выполнения операции.
5. "/kaka/baka.php" - путь к файлу на сервере, который был использован при передаче
6. "b" - режим передачи данных. (Возможно два значения: "a" - для ASCII, "b" - для binary). Текстовые файлы могут передаваться в "a" режиме, файлы содержащие нетекстовую информацию, т.е. картинки, музыку, фильмы и т.д. должны передаваться только в "b" режиме.
7. "_" - один или несколько специальных флагов (C - файл был сжат, U - файл был разжат, T - файл был запакован tar), значение "_" говорит о том, что никакие флаги не использовались.
8. "d" - Направление передачи данных: (o - скачивание, i - закачивание, d - удаление)
9. "r" - Тип подключения к серверу: (a - анонимный, r - вход по имени/паролю)
10. "ftpuser" - Имя пользователя с которым вошли на сервер
11. "ftp" - Название службы. В данном случае "ftp". Видимо данный формат лога задумывался и для работы с другими службами.
12. "0" - Метод аутентификации при входе на сервер (0 - обычный, 1 - RFC931)
13. "*" - специальный идентификатор пользователя. Если его нет, выдаётся "*"
14. "c" - состояние завершения передачи данных (c - завершилась нормально, i - передача данных была прервана).