Debian中Tomcat如何进行日志分析

Debian下Tomcat日志分析实操指南

一 日志位置与关键文件

• 常见日志目录：
  • 系统包安装：/var/log/tomcat/（Debian 常见）
  • 手动安装：$CATALINA_HOME/logs（如 /opt/tomcat/logs）
• 核心文件与作用：
  • catalina.out：标准输出与错误输出，包含启动、运行、关闭日志，是最常用的排查入口。
  • localhost..log：应用日志（Servlet/JSP 输出、异常堆栈等）。
  • localhost_access_log..txt：访问日志，记录客户端IP、请求路径、状态码、耗时、Referer、User-Agent等，用于流量与错误来源分析。
• 建议先用以下命令确认目录与文件存在：
  • 查看目录：ls /var/log/tomcat 或 ls $CATALINA_HOME/logs
  • 实时查看：tail -f /var/log/tomcat/catalina.out
  • 访问日志示例：less /var/log/tomcat/localhost_access_log.2025-06-01.txt
• 若目录不在默认位置，可在 server.xml 的 中检查 AccessLogValve 的 directory 属性，以及在 conf/logging.properties 中确认日志处理器与路径。

二 命令行快速分析

• 实时观察与关键字定位
  • 实时跟踪：tail -f catalina.out
  • 错误与异常：grep -iE “ERROR|Exception|SEVERE|Failed” catalina.out
• 访问日志统计（以常见 NCSA 格式为例）
  • 按小时请求量：awk ‘{print substr($4,2,14)}’ localhost_access_log.*.txt | sort | uniq -c
  • Top 10 客户端IP：awk ‘{print $1}’ localhost_access_log.*.txt | sort | uniq -c | sort -nr | head
  • Top 10 接口与状态码分布：
    • 接口：awk ‘{print $7}’ localhost_access_log.*.txt | sort | uniq -c | sort -nr | head
    • 状态码：awk ‘{print $9}’ localhost_access_log.*.txt | sort | uniq -c | sort -nr
• 异常堆栈快速定位
  • 从 catalina.out 抽取完整堆栈：grep -nA50 -B10 “Exception” catalina.out | less
• 日志轮转与清理
  • 使用 logrotate 管理日志大小与保留期，防止单文件过大（见下文“监控与维护”）。

三 访问日志字段与配置要点

• 常用 AccessLogValve 字段（pattern）示例：
  • 格式：pattern=“%h %l %u %t “%r” %s %b “%{Referer}i” “%{User-Agent}i””
  • 字段含义：%h 客户端IP，%t 时间，%r 请求行，%s 状态码，%b 响应字节数，%{Referer}i 来源页，%{User-Agent}i 浏览器标识。
• 在 server.xml 的 中启用与定制：
  • 示例：

    <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">
      <Valve className="org.apache.catalina.valves.AccessLogValve"
             directory="logs"
             prefix="localhost_access_log" suffix=".txt"
             pattern="%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i"" />
    </Host>
    

• 若需要按时间自动切割访问日志，可结合 Cronolog 或 logrotate 使用。

四 日志配置与级别优化

• 调整日志级别与输出
  • 编辑 conf/logging.properties，为不同 logger 设置 SEVERE/WARNING/INFO/CONFIG/FINE/FINER/FINEST 等级，减少低级别噪声或提升调试细节。
  • 示例（调整 Catalina 与 localhost 日志级别）：

    1catalina.org.apache.juli.FileHandler.level = INFO
    1catalina.org.apache.juli.FileHandler.directory = ${catalina.base}/logs
    1catalina.org.apache.juli.FileHandler.prefix = catalina.
    1catalina.org.apache.juli.FileHandler.formatter = java.util.logging.SimpleFormatter
    
    org.apache.catalina.core.ContainerBase.[Catalina].[localhost].level = INFO
    org.apache.catalina.core.ContainerBase.[Catalina].[localhost].handlers = 2localhost.org.apache.juli.FileHandler
    

• 谨慎将级别设为 ALL/FINEST，避免日志量激增与磁盘压力。

五 监控与维护建议

• 实时与告警
  • 实时跟踪：tail -f catalina.out
  • 关键字告警：grep -i “ERROR” catalina.out | mail -s “Tomcat ERROR” ops@example.com
• 日志轮转
  • 使用 logrotate 配置按日/按大小切割、压缩与保留策略，避免磁盘被占满。
• 集中化与可视化
  • 小规模：rsyslog + 文件收集
  • 中大规模：ELK Stack（Elasticsearch/Logstash/Kibana）、Graylog、Splunk
  • 指标监控：Prometheus + Tomcat Exporter + Grafana 构建仪表盘与阈值告警
• JVM与线程分析
  • jstat -gcutil 1000 观察 GC 与健康度
  • jstack 抓取线程转储，排查死锁/长时间阻塞
• 安全与访问控制
  • 在 server.xml 中使用 RemoteAddrValve 限制来源网段，配合 AccessLogValve 记录 Referer/UA 做防盗链与异常来源追踪。