阅读量:3
一、配置Tomcat日志记录(基础前提)
要监控Tomcat安全事件,首先需确保日志能捕获足够的安全相关信息。主要从以下方面配置:
- 开启详细日志级别:修改
conf/logging.properties文件,将org.apache.catalina、org.apache.coyote、org.apache.tomcat等核心组件的日志级别设置为FINE或DEBUG(如logger.level=org.apache.catalina=FINE),以记录更多调试细节(如请求处理、认证授权过程)。 - 配置访问日志:在
server.xml中启用AccessLogValve,记录访问日志的关键字段(如客户端IP、请求时间、URL、响应状态码、用户代理)。示例配置:<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="access_log" suffix=".txt" pattern="%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i"" /> - 日志文件管理:通过
logging.properties设置日志滚动策略,避免单个文件过大。示例配置:java.util.logging.FileHandler.pattern = %h/tomcat.%g.log java.util.logging.FileHandler.limit = 50000(50MB) java.util.logging.FileHandler.count = 5(保留5个备份)
二、识别常见安全事件日志特征
通过分析日志中的特定模式,可快速定位安全威胁。以下是常见安全事件的日志表现:
- 认证失败:
org.apache.catalina.authenticator.AuthenticatorBase日志中会出现Authentication failed for user [username],提示用户名或密码错误(可能是暴力破解尝试)。 - 授权失败:同一组件会记录
Authorization failed for user [username],表示用户已认证但无权访问资源(如未授权访问管理页面)。 - 会话异常:
org.apache.catalina.session.StandardSessionListener的sessionDestroyed日志(伴随reason=TIMEOUT)表示会话超时,若频繁出现可能是会话固定攻击的迹象。 - 攻击尝试:
- CSRF:Spring Security的
CsrfTokenRepository会记录saveToken(正常令牌生成)或invalidToken(无效令牌,提示CSRF攻击); - XSS/SQL注入:Spring框架的
OncePerRequestFilter或DataSourceUtils会记录恶意请求(如包含jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证: 粤B1-20215235 |
粤公网安备 44070302000974号
违法和不良信息举报中心 24 小时违法和不良信息举报热线:4006783389,举报邮箱:jubao@jindouyun.cn
- CSRF:Spring Security的
