阅读量:3
一、明确Tomcat日志文件位置
CentOS系统中,Tomcat日志默认存储在$CATALINA_HOME/logs目录下,主要包括以下几类关键日志:
- catalina.out:主日志文件,记录服务器启动、停止及运行时的详细信息(如错误、警告);
- localhost_access_log.*.txt:访问日志(默认路径为
logs/localhost_access_log.<日期>.txt),记录所有HTTP请求的详细信息(客户端IP、请求时间、方法、URL、响应状态码等); - manager.log/host-manager.log:应用管理界面的访问日志,需重点关注异常访问。
二、访问日志中的异常流量识别要点
访问日志是识别异常流量的核心来源,需重点监控以下指标:
-
高频错误状态码:
- 大量404错误:短时间内同一IP或路径出现大量404(未找到)状态码,可能是扫描工具(如Nmap)探测服务器路径或文件;
- 大量403错误:频繁的403(禁止访问)状态码,可能是攻击者尝试访问受保护资源(如
/admin目录); - 大量5xx错误(如500内部服务器错误、503服务不可用):可能是恶意请求导致服务器崩溃或资源耗尽(如SQL注入、命令执行)。
-
异常请求频率:
- 单位时间内同一IP地址的请求数激增(如1分钟内同一IP发起100+次请求),远超正常用户访问频率,可能是DDoS攻击或爬虫滥用;
- 短时间内大量并发请求(如线程池满负荷),可通过
netstat -antp | grep java查看Tomcat连接数是否异常。
-
可疑IP与请求来源:
- 来自高风险地区的IP(如境外IP、已知恶意IP段),可通过
whois命令查询IP归属地; - 同一IP短时间内访问多个不存在的路径(如
/wp-admin.php、/phpmyadmin),可能是自动化攻击工具的行为。
- 来自高风险地区的IP(如境外IP、已知恶意IP段),可通过
-
异常请求参数与方法:
- 请求参数包含特殊字符(如
jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证: 粤B1-20215235 |
粤公网安备 44070302000974号
违法和不良信息举报中心 24 小时违法和不良信息举报热线:4006783389,举报邮箱:jubao@jindouyun.cn
- 请求参数包含特殊字符(如
