1. 选择合适的日志库
使用功能强大且灵活的Node.js日志库(如Winston、Pino),支持结构化日志输出、多传输渠道(文件、控制台、远程服务器)及日志级别控制,满足合规性对日志格式和内容的要求。例如,Winston可通过json()格式化器生成结构化日志,便于后续解析。
2. 配置结构化日志与必要字段
采用JSON等结构化格式记录日志,确保日志条目包含合规所需的关键信息:时间戳(UTC格式)、日志级别(error/warn/info等)、用户标识符(如用户ID)、操作类型(如HTTP请求方法)、请求详情(如URL、客户端IP)、响应状态码及错误堆栈(如发生异常)。例如:
const winston = require('winston');
const logger = winston.createLogger({
level: 'info',
format: winston.format.json(),
transports: [
new winston.transports.File({ filename: 'error.log', level: 'error' }),
new winston.transports.File({ filename: 'combined.log' })
]
});
// 记录包含用户操作的日志
logger.info(`User ${user.id} performed ${req.method} on ${req.url}`, {
timestamp: new Date().toISOString(),
user: user.id,
method: req.method,
url: req.url
});
3. 实施日志轮转与保留策略
使用Debian自带的logrotate工具自动轮转日志文件,防止日志过大占用磁盘空间,并设置合理的保留期限(如7天)。创建/etc/logrotate.d/nodejs配置文件,内容如下:
/var/log/nodejs/*.log {
daily
missingok
rotate 7
compress
notifempty
create 0640 root adm
}
此配置每日轮转日志,保留最近7天的压缩日志,新日志文件权限为0640(仅root和adm组可读)。
4. 强化日志访问控制与安全
将日志文件存储在安全目录(如/var/log/nodejs),并通过文件权限和**访问控制列表(ACL)**限制访问。例如,设置日志文件权限为600(仅所有者可读写),归属root:adm组:
chmod 600 /var/log/nodejs/*.log
chown root:adm /var/log/nodejs/*.log
若日志包含敏感信息(如用户密码),需在传输和存储过程中使用TLS加密(如通过Logstash的SSL配置),避免泄露。
5. 集中式日志管理与监控
将Node.js日志发送至集中式日志管理系统(如ELK Stack:Elasticsearch+Logstash+Kibana、Graylog),实现日志的集中存储、分析和可视化。例如,配置Logstash接收Node.js日志:
/etc/logstash/conf.d/nodejs.conf中添加输入插件(读取Node.js日志文件)和输出插件(发送至Elasticsearch):input {
file {
path => "/var/log/nodejs/*.log"
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "nodejs-%{+YYYY.MM.dd}"
}
}
启动服务后,可通过Kibana实时监控日志,快速定位异常。
6. 定期审计与合规性检查
定期审查日志内容,检查是否符合合规性要求(如GDPR、HIPAA等),重点关注以下方面:
grep命令)快速检查敏感信息:# 检查日志中是否包含敏感信息
grep -i "password" /var/log/nodejs/*.log
grep -i "Unauthorized" /var/log/nodejs/*.log
7. 定义清晰的日志策略与文档
制定日志管理策略,明确日志记录的范围、级别、格式、保留期限及访问权限,并定期更新以适应新的合规性要求。对开发、运维人员进行培训,确保其了解日志合规的重要性及操作流程。