CentOS Tomcat日志中如何识别潜在威胁 - 问答

识别思路与日志准备

在 CentOS 上，Tomcat 的关键日志包括：访问日志 catalina.out/catalina.[日期].log、localhost_access_log.[日期].txt、localhost.[日期].log。要有效识别威胁，先确保访问日志包含足够字段：在 conf/server.xml 的 AccessLogValve 中使用包含 %h %l %u %t “%r” %s %b “%{Referer}i” “%{User-Agent}i” %D 的格式，分别记录客户端 IP、请求行、状态码、来源页、UA、耗时等，便于发现异常访问与性能异常。错误日志与 catalina.out 的异常堆栈可帮助定位漏洞触发点。建议同时配置日志轮转，避免单文件过大影响分析。

常见威胁在日志中的特征与排查命令

威胁类型	日志特征关键词或模式	快速排查命令示例
目录遍历与敏感路径探测	访问路径包含 …/、/WEB-INF/、/META-INF/、/manager/、/host-manager/；伴随 404/403 与大量不同路径	grep -E '../
SQL 注入与命令注入	参数中出现 ’ OR 1=1 --、UNION SELECT、sleep(、exec(、cmd=、;、或 %27 编码	grep -E "(’
XSS 与恶意载荷	参数或 User-Agent 含