在實際使用中,使用F5或LVS為tomcat做負載均衡時,由於做了反向代理,tomcat記錄的Aceess Log中,會將客戶端ip記錄為F5或lvs的ip,導致無法正常記錄訪問者的真實ip資訊.

Tomcat配置中,可以通過修改AceessLogValve/ExtendedAceessLogValve的設定,解決這個問題.

Tomcat Log 如何記錄Access Log

tomcat記錄access log, 由conf目錄下的server.xml配置.一個典型的配置如下:

<Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="%h %l %u %t "%r" %s %b" />
</Host>
 

AccessLogValve中的pattern屬性決定了log中需要記錄哪些資訊, 相應的pattern規範可以參考tomcat 的官方文件,有比較詳細的說明. pattern說明 下面介紹下如果在反向代理情況下記錄使用者真實的ip資訊.

AceessLogValve

使用預設的AceessLogValve記錄日誌時,pattern 屬性中可以使用%{xxx}i的格式獲取請求的header資訊. 故使用%{X-Forwarded-For}i即可獲取請求中的X-Forwarded-For資訊,即經過反向代理後的客戶端真實ip. 配置檔案的寫法類似如下:

<Host name="localhost"  appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="%{X-Forwarded-For}i %h %l %u %t "%r" %s %b" />
</Host>
 

ExtendedAceessLogValve

我們在專案中使用ExtendedAceessLogValve進行日誌記錄,主要是為了使日誌遵守W3C標準, 使用ExtendedAceessLogValve時,可以在pattern 屬性中使用cs(X-Forwarded-For)獲取客戶端真實ip,原理和AceessLogValve一致,只是寫法不一樣.

配置檔案的寫法類似如下:

<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">
        <Valve className="org.apache.catalina.valves.ExtendedAccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="cs(X-Forwarded-For) c-ip s-ip date time cs-method cs-uri sc-status bytes time-taken" />
</Host>