1. 启用结构化详细日志记录
使用成熟的日志库(如Winston、Bunyan)配置结构化日志(推荐JSON格式),覆盖请求响应、错误堆栈、关键业务操作(如用户登录、数据修改)等信息。例如,Winston可配置为同时输出到文件和控制台,生产环境隐藏敏感细节(如堆栈跟踪),开发环境保留完整信息以便调试。结构化日志便于后续用ELK等工具分析,能快速定位异常行为。
2. 记录关键安全事件
聚焦可能引发安全风险的场景,记录用户认证(成功/失败的登录/登出)、权限变更(如角色升级、权限分配)、敏感操作(如数据删除、批量导出)、配置修改(如数据库连接字符串变更)等事件。日志需包含时间戳、用户ID/IP地址、操作类型、详细描述等元数据,为安全审计提供追溯依据。例如,记录auditLog('User login failed', { userId: '123', ip: '192.168.1.100' }),可快速识别暴力破解尝试。
3. 配置日志轮转与清理
使用logrotate工具或Winston的winston-daily-rotate-file库,设置日志文件按日期或大小分割(如每天生成新文件,保留14天),并启用压缩减少存储占用。避免单个日志文件过大导致服务器性能下降,同时防止日志无限增长泄露敏感信息。例如,logrotate配置可限制日志文件大小为20MB,保留7天压缩文件。
4. 集中式日志管理与实时分析
将日志发送到集中式系统(如ELK Stack:Elasticsearch存储+Logstash解析+Kibana可视化,或Splunk),实现日志的统一收集、存储和分析。通过Kibana或Splunk的仪表盘,可实时监控异常模式(如短时间内大量失败登录、异常API请求频率),快速识别潜在攻击(如DDoS、SQL注入)。集中式管理还便于跨服务器关联日志,提升安全事件响应效率。
5. 设置实时警报与异常检测
配置警报系统(如PagerDuty、OpsGenie、Sentry),针对关键日志事件(如连续5次登录失败、未授权访问尝试、服务器错误率飙升)触发实时通知。例如,用Winston结合Sentry捕获异常,当应用程序出现未处理错误时,立即通知运维团队。结合机器学习工具(如ELK的机器学习插件),可自动识别异常行为(如用户异常地理位置登录),提前预警安全威胁。
6. 强化日志文件安全保护
设置日志文件权限,确保只有授权用户(如root、运维人员)可访问。例如,使用chmod 640限制日志文件权限,chown root:adm设置所有者为root、组为adm。避免将日志存储在应用程序目录(易受攻击),建议存放在专用目录(如/var/log/nodejs)。对于敏感日志(如包含用户个人信息的日志),可加密存储(如用GPG加密),防止数据泄露。
7. 结合安全工具增强防护
使用安全中间件(如Helmet)设置HTTP安全头(如XSS防护、CSP、HSTS),减少应用程序漏洞;用express-rate-limit限制API请求频率,防止暴力破解;用validator库验证用户输入,避免SQL注入、XSS等攻击。这些工具可减少安全事件的发生,同时配合日志记录,能更全面地监控安全状态。
8. 定期审计与更新日志策略
定期审查日志内容(如每周检查异常事件),分析日志中的潜在安全问题(如频繁的权限变更、异常数据访问)。更新日志记录策略,适应新的安全需求(如新增关键操作的日志记录、调整日志级别)。同时,定期更新日志库和依赖项(如Winston、Helmet),修复已知漏洞,确保日志系统的安全性。