如何设置Ubuntu Tomcat日志审计

以下是Ubuntu Tomcat日志审计的设置步骤：

1. 启用访问日志
   在TOMCAT_HOME/conf/server.xml中配置AccessLogValve，记录访问时间、IP、请求资源等信息，例如：

   <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="%h %l %u %t "%r" %s %b" /> 

2. 配置日志级别
   修改TOMCAT_HOME/conf/logging.properties，设置更详细的日志级别（如FINE），记录安全相关操作：

   java.util.logging.ConsoleHandler.level = FINE 

3. 日志轮转与归档

   • 使用logrotate工具自动分割压缩日志，避免单个文件过大：
     编辑/etc/logrotate.d/tomcat，添加：

     daily rotate 7 compress missingok create 640 tomcat tomcat postrotate /bin/kill -USR1 $(cat /var/run/tomcat.pid) endscript 

   • 或通过cronolog按天分割日志（需安装并配置catalina.sh）。

4. 权限与安全加固

   • 限制日志文件访问权限，通过umask设置默认权限（如027），仅允许授权用户访问：
     修改catalina.sh，添加UMASK=027。
   • 隐藏Tomcat版本号，编辑lib/catalina.jar中的ServerInfo.properties文件，删除版本信息。

5. 实时监控与分析

   • 使用tail -f或less实时查看日志，或通过rsyslog集中管理日志。
   • 借助ELK堆栈（Elasticsearch+Logstash+Kibana）或Prometheus+Grafana实现日志可视化与异常预警。

6. 安全策略配置

   • 启用Tomcat安全管理器，在conf/catalina.policy中定义访问控制规则。
   • 结合Web应用防火墙（如ModSecurity）拦截恶意请求，增强日志审计的防护能力。

注：具体配置需根据业务需求调整，建议定期备份日志并测试审计流程的有效性。