Debian JS日志如何合规

Debian上Node.js日志合规实施指南

一 合规框架与总体要求

• 记录范围与保留：覆盖关键业务操作、错误与安全事件，并设定明确的保留期限与备份策略，满足审计与取证需要。
• 日志格式与内容：采用结构化格式（如 JSON），每条日志包含时间戳、日志级别、进程/线程ID、消息等，便于检索与分析。
• 存储与访问控制：日志存放在安全位置，仅对授权主体可读；在传输与存储环节启用加密与完整性保护。
• 轮转与容量：按大小/时间进行日志轮转，并配置压缩与保留数量，防止磁盘被占满。
• 监控与告警：建设集中式日志平台与实时监控/告警，对异常与关键事件及时通知。
• 审计与改进：定期审计日志策略与内容，验证是否满足GDPR、HIPAA等适用法规与标准，并持续改进。

二 落地实施清单

• 日志库与级别：选择成熟的库（如Winston、Pino、Bunyan、Log4js），按环境设置INFO/ERROR等级，生产禁用DEBUG输出到文件。
• 结构化与字段：统一使用JSON，必含字段建议包含：timestamp、level、pid、msg、action、statusCode、userId、ip、traceId；HTTP侧可用morgan记录请求，业务侧用Winston/Pino记录业务与错误。
• 本地轮转方案A（系统级）：使用logrotate管理应用日志，典型策略为按日轮转、保留7天、压缩、缺失不报错、空文件不轮转、创建指定权限。
• 本地轮转方案B（应用内）：使用winston-daily-rotate-file或log4js按日切分，配置maxSize、maxFiles、zippedArchive等参数。
• 进程管理：如使用PM2，可分别输出error_file/out_file并配合外部轮转。
• 集中式与告警：将日志发送至ELK/Graylog等平台，配置Kibana/Grafana仪表盘与阈值告警，实现实时检索、可视化与告警。

三 关键配置示例

• 应用内结构化日志（Winston，生产写文件，开发打印控制台）

// npm i winston
const winston = require('winston');
const { combine, timestamp, json } = winston.format;

const logger = winston.createLogger({
  level: process.env.NODE_ENV === 'production' ? 'info' : 'debug',
  format: combine(timestamp(), json()),
  transports: [
    new winston.transports.File({ filename: '/var/log/nodejs/error.log', level: 'error' }),
    new winston.transports.File({ filename: '/var/log/nodejs/combined.log' })
  ],
  exceptionHandlers: [new winston.transports.File({ filename: '/var/log/nodejs/exceptions.log' })],
  rejectionHandlers: [new winston.transports.File({ filename: '/var/log/nodejs/rejections.log' })]
});

if (process.env.NODE_ENV !== 'production') {
  logger.add(new winston.transports.Console({ format: winston.format.simple() }));
}

// 示例：记录关键业务事件
logger.info('user login', {
  userId: 'u123', ip: '203.0.113.5', action: 'login', statusCode: 200, traceId: 'abc-123'
});

• 系统级轮转配置（/etc/logrotate.d/nodejs）

/var/log/nodejs/*.log {
  daily
  rotate 7
  compress
  delaycompress
  missingok
  notifempty
  create 0640 nodejs adm
  postrotate
    systemctl reload rsyslog >/dev/null 2>&1 || true
  endscript
}

• 应用内按日轮转（winston-daily-rotate-file）

// npm i winston-daily-rotate-file
const DailyRotateFile = require('winston-daily-rotate-file');
const transport = new DailyRotateFile({
  filename: '/var/log/nodejs/app-%DATE%.log',
  datePattern: 'YYYY-MM-DD',
  zippedArchive: true,
  maxSize: '20m',
  maxFiles: '14d'
});
logger.add(transport);

• 进程管理（PM2 分别输出错误与标准输出）

{
  "apps": [
    {
      "name": "my-app",
      "script": "app.js",
      "error_file": "/var/log/nodejs/err.log",
      "out_file": "/var/log/nodejs/out.log"
    }
  ]
}

• 集中式采集（Filebeat → Logstash → Elasticsearch → Kibana）

# filebeat.yml 片段
filebeat.inputs:
- type: filestream
  paths:
    - /var/log/nodejs/*.log
output.logstash:
  hosts: ["logstash:5044"]

# logstash.conf 片段
input { beats { port => 5044 } }
filter { json { source => "message" } }
output { elasticsearch { hosts => ["elasticsearch:9200"] index => "nodejs-%{+YYYY.MM.dd}" } }

四 权限与合规要点

• 文件权限与属主：日志目录与文件建议设置为0640，属主nodejs:adm，避免其他用户读取；集中式平台侧同样遵循最小权限与分权分域。
• 加密与传输：日志在传输到集中式平台时使用TLS；敏感字段在写入前进行脱敏/遮蔽（如密码、令牌、身份证号、银行卡号等）。
• 访问控制与审计：对日志的读/写/删操作纳入访问控制与审计；定期导出审计报告，验证策略有效性。
• 保留与清理：按法规与业务需求设置保留周期（如30/90/365天），过期自动压缩归档/删除；对归档数据实施离线备份与访问控制。
• 监控与告警：对登录失败、权限变更、异常流量、服务不可用等事件配置实时告警，确保可观测性与响应能力。

五 快速检查清单