如何配置Debian Tomcat日志审计

Debian Tomcat日志审计配置指南

一 目标与总体架构

• 覆盖三类审计数据：应用运行日志（JULI）、访问日志（AccessLogValve）、系统级安全审计（auditd）。
• 建立统一落盘与保留策略：按日/大小切分、压缩、保留周期清晰，便于取证与合规。
• 建立集中与实时监控：本地快速排查与远程聚合分析并行，异常告警及时响应。

二 启用并标准化访问日志

• 在 conf/server.xml 的 内确保存在并启用 AccessLogValve，记录客户端IP、时间、请求、状态码、字节数等关键字段；建议关闭 DNS 反查以提升性能，并按需调整时间粒度与命名格式。示例：

<Valve className="org.apache.catalina.valves.AccessLogValve"
       directory="${catalina.base}/logs"
       prefix="localhost_access_log"
       suffix=".txt"
       pattern="%h %l %u %t \"%r\" %s %b"
       resolveHosts="false"
       rotatable="true"
       fileDateFormat="yyyy-MM-dd.HH"/>

• 常用 pattern 说明：
  • common：%h %l %u %t “%r” %s %b
  • combined：在 common 基础上增加 %{Referer}i 与 %{User-Agent}i
• 字段含义要点：
  • %h 客户端IP，%t 请求时间，%r 请求首行（方法+URI），%s 响应状态码，%b 响应字节数（不含头）
  • %D/%T 处理耗时（毫秒/秒），可用于性能与异常检测
• 建议：生产环境优先使用 combined 或自定义包含 %D 的 pattern，便于安全分析与性能排查。

三 调整运行日志级别与输出路径

• 编辑 conf/logging.properties，为不同组件设置合理级别（如将 catalina 与 localhost 设为 INFO，按需开启 FINE/FINER 用于排障），并统一日志目录，便于审计归档与访问控制。
• 示例（将文件日志集中到 /var/log/tomcat）：

# 统一目录（JULI FileHandler 使用 catalina.base，若需自定义可用 AsyncFileHandler + 显式 directory）
1catalina.org.apache.juli.AsyncFileHandler.directory = /var/log/tomcat
2localhost.org.apache.juli.AsyncFileHandler.directory = /var/log/tomcat
3manager.org.apache.juli.AsyncFileHandler.directory = /var/log/tomcat
4host-manager.org.apache.juli.AsyncFileHandler.directory = /var/log/tomcat

# 级别示例
org.apache.catalina.core.ContainerBase.[Catalina].[localhost].level = INFO
java.util.logging.ConsoleHandler.level = WARNING

• 如需更简洁的单行输出便于 grep/awk，可将 ConsoleHandler 的 formatter 调整为 org.apache.juli.OneLineFormatter。
• 修改后重启 Tomcat 生效（如使用 systemd：systemctl restart tomcat）。

四 日志轮转与保留策略

• 使用 logrotate 管理 Tomcat 日志（含 catalina.out 与应用日志），避免单文件过大、便于合规留存与快速回溯。
• 新建 /etc/logrotate.d/tomcat：

/var/log/tomcat/*.log /opt/tomcat/logs/catalina.out {
    daily
    missingok
    rotate 30
    compress
    delaycompress
    copytruncate
    notifempty
    create 640 tomcat tomcat
    dateext
    dateformat -%Y%m%d
}

• 说明：
  • copytruncate 适配 Tomcat 持续写入场景；若采用进程内轮转（如按时间切割），可改用 postrotate 通知 Tomcat 重新打开日志文件。
  • 执行测试：logrotate -f /etc/logrotate.d/tomcat；Logrotate 通常由 cron 的 daily 任务自动执行。

五 安全加固与集中审计

• 文件与进程权限
  • 运行 Tomcat 的账号应为非 root专用账号；Tomcat 目录（如 /opt/tomcat 或 /usr/local/tomcat）属主与属组设为该账号，日志目录权限建议 640，仅允许属主与同组读取，防止敏感信息泄露。
• 访问与错误信息控制
  • 禁用目录列表：在 conf/web.xml 将 listings 设为 false。
  • 隐藏异常堆栈与版本信息：配置全局 返回友好错误页；必要时降低 ServerInfo.properties 中的版本暴露（如 server.info、server.number）。
• 系统级审计与集中化
  • 启用 auditd 记录关键文件与进程事件（示例）：
    • 监控配置与二进制：auditctl -w /opt/tomcat/conf -p wa -k tomcat_conf
    • 监控日志目录：auditctl -w /var/log/tomcat -p wa -k tomcat_logs
    • 持久化规则写入 /etc/audit/rules.d/tomcat.rules 并重启 auditd。
  • 集中化与可视化：将 AccessLogValve 与 JULI 日志通过 Filebeat/Logstash 送入 Elasticsearch/Kibana 或 Graylog，构建仪表盘与告警规则（如 5xx 激增、非法路径访问、耗时异常等）。