如何設置Ubuntu Tomcat日志審計

以下是Ubuntu Tomcat日志審計的設置步驟：

1. 啟用訪問日志
   在TOMCAT_HOME/conf/server.xml中配置AccessLogValve，記錄訪問時間、IP、請求資源等信息，例如：

   <Valve className="org.apache.catalina.valves.AccessLogValve" 
          directory="logs" 
          prefix="localhost_access_log." 
          suffix=".txt" 
          pattern="%h %l %u %t "%r" %s %b" />
   

2. 配置日志級別
   修改TOMCAT_HOME/conf/logging.properties，設置更詳細的日志級別（如FINE），記錄安全相關操作：

   java.util.logging.ConsoleHandler.level = FINE
   

3. 日志輪轉與歸檔

   • 使用logrotate工具自動分割壓縮日志，避免單個文件過大：
     編輯/etc/logrotate.d/tomcat，添加：

     daily
     rotate 7
     compress
     missingok
     create 640 tomcat tomcat
     postrotate
       /bin/kill -USR1 $(cat /var/run/tomcat.pid)
     endscript
     

   • 或通過cronolog按天分割日志（需安裝并配置catalina.sh）。

4. 權限與安全加固

   • 限制日志文件訪問權限，通過umask設置默認權限（如027），僅允許授權用戶訪問：
     修改catalina.sh，添加UMASK=027。
   • 隱藏Tomcat版本號，編輯lib/catalina.jar中的ServerInfo.properties文件，刪除版本信息。

5. 實時監控與分析

   • 使用tail -f或less實時查看日志，或通過rsyslog集中管理日志。
   • 借助ELK堆棧（Elasticsearch+Logstash+Kibana）或Prometheus+Grafana實現日志可視化與異常預警。

6. 安全策略配置

   • 啟用Tomcat安全管理器，在conf/catalina.policy中定義訪問控制規則。
   • 結合Web應用防火墻（如ModSecurity）攔截惡意請求，增強日志審計的防護能力。

注：具體配置需根據業務需求調整，建議定期備份日志并測試審計流程的有效性。