Tomcat通常以专用用户(如tomcat)运行,避免使用root。通过以下命令查看启动用户:
ps -ef | grep tomcat
若用户为root,需修改为tomcat(需提前创建该用户,参考)。
Tomcat日志默认存放在$CATALINA_HOME/logs(如/opt/tomcat/logs),需确保tomcat用户对其有读写权限:
sudo chown -R tomcat:tomcat /opt/tomcat/logs
sudo chmod -R 755 /opt/tomcat/logs # 目录权限设为755(所有者可读写执行,其他用户可读执行)
catalina.out):sudo chown tomcat:tomcat /opt/tomcat/logs/catalina.out
sudo chmod 644 /opt/tomcat/logs/catalina.out # 文件权限设为644(所有者可读写,其他用户可读)
Tomcat启动时会重置UMASK,若UMASK值为0027(默认),生成的日志文件权限为640(仅所有者可写),导致其他用户无法读取。需修改catalina.sh(位于$CATALINA_HOME/bin):
sudo vi /opt/tomcat/bin/catalina.sh
找到umask相关行(通常在脚本开头),将umask 0027改为umask 0022(对应权限644),保存后重启Tomcat:
sudo systemctl restart tomcat
使用logrotate工具自动轮换日志,避免日志文件过大且权限混乱。创建/etc/logrotate.d/tomcat文件,添加以下内容:
/opt/tomcat/logs/catalina.out {
daily # 每日轮换
rotate 7 # 保留7份旧日志
compress # 压缩旧日志(如catalina.out.1.gz)
delaycompress # 延迟压缩(避免立即压缩导致权限问题)
missingok # 若日志不存在也不报错
notifempty # 若日志为空则不轮换
create 640 tomcat tomcat # 轮换后创建的新日志权限为640,所有者为tomcat
postrotate # 轮换后执行的命令(通知Tomcat重新打开日志文件)
/bin/kill -HUP `cat /var/run/tomcat.pid` 2>/dev/null || true
endscript
}
保存后,logrotate会按配置自动管理日志权限。
若使用Log4j2或Logback等框架,可在配置文件中直接指定日志文件的权限:
log4j2.xml):<File name="File" fileName="logs/catalina.log">
<filePermissions>rw-r--r--</filePermissions> <!-- 对应644权限 -->
</File>
logback.xml):<appender name="FILE" class="ch.qos.logback.core.FileAppender">
<file>logs/catalina.log</file>
<prudent>false</prudent>
<append>true</append>
<filePermissions>644</filePermissions> <!-- 直接设置权限 -->
</appender>
ls -l /opt/tomcat/logs/
-rw-r--r-- 1 tomcat tomcat 1024 Sep 20 10:00 catalina.out
catalina.out是否有新内容且权限正确。通过以上步骤,可解决CentOS下Tomcat日志的权限问题,确保日志文件可被正确访问和管理。
