logback框架和日志分离管理

一、日志框架

1. 什么是日志框架?

日志框架 是一种软件组件,负责记录应用程序在运行时生成的日志信息。日志信息通常包括错误、警告、调试信息和其他重要的运行状态,帮助开发者和运维人员监控和调试应用。

2. 日志框架的作用

  • 记录运行信息:捕获程序执行中的重要事件和状态信息,便于追踪问题和性能瓶颈。
  • 故障排查:当应用发生错误时,日志记录提供了上下文信息,有助于快速定位和解决问题。
  • 性能监控:记录性能指标,帮助分析系统的运行效率。
  • 审计和合规:某些应用需要记录操作历史以满足安全审计和合规要求。
  • 可追溯性:通过日志,用户可以追溯到具体的操作和系统状态。

3. 常见的日志框架

3.1. Log4j

最早的 Java 日志框架之一,提供了强大的日志记录功能。
支持多种输出目标(控制台、文件、数据库等),灵活的配置方式,但在性能上相对较低。
目前有 Log4j 1 和 Log4j 2,后者在性能和功能上进行了显著改进。

3.2. Logback

由 Log4j 的创始人开发,是 SLF4J 的原生实现,性能优越(比log4j强)。
支持异步日志记录、自动重载配置文件、灵活的输出格式等。

3.3. java.util.logging (JUL)

Java 官方自带的日志框架,简单易用,但功能和灵活性相对较弱。
默认与 JDK 一起提供,不需要额外依赖,但通常被其他日志框架替代。
java.util.logging 适合小型项目和快速集成,但在复杂应用中可能无法满足需求。

3.4. SLF4J(日志门面)(Simple Logging Facade for Java)

SLF4J 是一个日志门面,提供了统一的日志 API,允许开发者在不同的日志框架之间切换。可以与多种日志框架(如 Logback、Log4j)兼容使用,提供简洁的 API,易于使用。将依赖从具体日志框架转移到统一接口,简化了依赖管理。不处理日志,只是一层抽象,实际的日志处理依赖于其他框架。

4.常见的日志级别

  • TRACE:最细粒度的信息,通常用于追踪问题。
  • DEBUG:调试信息,通常在开发和测试时使用。
  • INFO:正常运行的信息。
  • WARN:警告信息,表示可能出现的问题。
  • ERROR:错误信息,表示发生了错误。
  • FATAL:严重错误,表示应用程序无法继续运行。

5.讲讲logback

Logback 主要由三个核心模块构成:
logback-core:核心模块,提供基本的日志记录功能。
logback-classic:经典模块,提供 SLF4J(Simple Logging Facade for Java)实现,支持多种日志级别和输出格式。
logback-access:用于 Servlet 环境中的访问日志记录。

5.1. logback-core

logback-core 是 Logback 的基础模块,提供了日志记录的核心功能和通用的 API。它包含了 Logback 的一些基本组件,比如 Appender、Layout 和 Filter。它定义了基本的日志记录行为。提供了其他模块(如 logback-classic 和 logback-access)所需的共享功能。
一般情况下,不需要直接与 logback-core 进行交互,因为它是 Logback 其他模块的基础。

5.2. logback-classic

logback-classic 是 Logback 的经典模块,它实现了 SLF4J的接口。这个模块是最常用的,通常用于大多数 Java 应用程序。
提供对 SLF4J API 的实现,支持多种日志级别(如 TRACE、DEBUG、INFO、WARN、ERROR、FATAL)。
允许配置日志输出到不同的目标(控制台、文件等)。
支持日志格式化和过滤器。

import org.slf4j.Logger;
import org.slf4j.LoggerFactory; 

public class MyApp {
    private static final Logger logger = LoggerFactory.getLogger(MyApp.class);

    public static void main(String[] args) {
        logger.info("应用程序启动");
        try {
            int result = 10 / 0;
        } catch (Exception e) {
            logger.error("发生错误:{}", e.getMessage());
        }
        logger.info("应用程序结束");
    }

5.3. logback-access

logback-access 是 Logback 的一个扩展模块,专门用于 Servlet 环境中的访问日志记录。它允许你记录 HTTP 请求和响应的相关信息。
提供一个 Servlet 过滤器,可以捕获和记录请求信息。
允许配置请求和响应日志的输出格式。

public class LoginServlet extends HttpServlet {
    private static final Logger logger = LoggerFactory.getLogger(LoginServlet.class);

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        // 假设的用户验证逻辑
        boolean isAuthenticated = authenticateUser(username, password);

        if (isAuthenticated) {
            logger.info("用户 {} 登录成功", username);
            response.getWriter().write("登录成功");
        } else {
            logger.warn("用户 {} 登录失败,密码错误", username);
            response.getWriter().write("登录失败");
        }
    }

    private boolean authenticateUser(String username, String password) {
        return "admin".equals(username) && "password".equals(password);
    }

5.4.学到此处的疑惑?

上述在http交互中,好像直接使用logback classic也可以,为什么还多此一举多个logback access?或者说logback access优越在哪里?
举个例子作比较:
1.假设我们在处理用户登录时,使用 Logback Classic 记录日志:

public class LoginServlet extends HttpServlet {
    private static final Logger logger = LoggerFactory.getLogger(LoginServlet.class);

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        boolean isAuthenticated = authenticateUser(username, password);

        if (!isAuthenticated) {
            // 手动记录登录失败的信息
            logger.warn("登录失败,用户名: {}, 请求方法: {}, 请求路径: {}", 
                username, request.getMethod(), request.getRequestURI());            ---注意这里
            response.getWriter().write("登录失败");
        } else {
            response.getWriter().write("登录成功");
        }
    }

    private boolean authenticateUser(String username, String password) {
        return "admin".equals(username) && "password".equals(password);
    }
}

输出结果:

2024-10-21 10:00:00 WARN  [http-nio-8080-exec-1] LoginServlet [LoginServlet.java:25] 
登录失败,用户名: user, 请求方法: POST, 请求路径: /login

2.在同样的登录失败场景中,使用 Logback Access:

public class LoginServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        boolean isAuthenticated = authenticateUser(username, password);

        if (!isAuthenticated) {
            // 使用 Logback Access 自动记录 HTTP 请求信息
            LogbackAccessFilter filter = new LogbackAccessFilter();
            filter.logAccess(request, response, "登录失败,用户名: " + username);     ---和上面比一下
            response.getWriter().write("登录失败");
        } else {
            response.getWriter().write("登录成功");
        }
    }

    private boolean authenticateUser(String username, String password) {
        return "admin".equals(username) && "password".equals(password);
    }
}

输出结果

2024-10-21 10:00:00 WARN  [http-nio-8080-exec-1] AccessLogger [LogbackAccess.java:123] 
请求方法: POST, 请求路径: /login, 用户名: user, 状态码: 401, 响应时间: 150ms

3.比较分析

输出内容:
Logback Classic:记录了用户名、请求方法和请求路径。这些信息帮助理解发生了什么,但缺乏对请求状态的详细描述。
Logback Access:自动记录请求方法、请求路径、状态码和响应时间等多种信息,使得分析请求情况更加全面。

代码简洁性:
Logback Classic:需要手动提取和记录请求相关的信息,代码较冗长且容易出错。
Logback Access:自动处理 HTTP 请求的记录,代码更简洁,专注于业务逻辑。

上下文信息:
Logback Classic:需要自己管理所有的请求上下文信息,容易遗漏关键信息。
Logback Access:全面捕获 HTTP 请求的上下文信息。

性能优化:
Logback Classic:未针对 HTTP 请求进行优化,记录过程相对较慢。
Logback Access:经过优化,专门为 HTTP 请求设计,可以更高效地记录访问信息。

6.举个完整示例

6.1. 项目结构 (登录为例)

my-login-app
│
├── src
│   ├── main
│   │   ├── java
│   │   │   ├── LoginServlet.java
│   │   │   └── MyApp.java
│   │   └── resources
│   │       └── logback.xml
│   └── webapp
│       └── index.html
└── pom.xml

6.2. Maven 依赖

<dependencies>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-api</artifactId>
        <version>1.7.30</version>
    </dependency>
    <dependency>
        <groupId>ch.qos.logback</groupId>
        <artifactId>logback-classic</artifactId>
        <version>1.2.3</version>
    </dependency>
    <dependency>
        <groupId>javax.servlet</groupId>
        <artifactId>javax.servlet-api</artifactId>
        <version>4.0.1</version>
        <scope>provided</scope>
    </dependency>
</dependencies>

6.3. Logback 配置文件

在 src/main/resources 目录下创建 logback.xml 文件,内容如下:

<configuration>

    <!-- 配置 ConsoleAppender,用于输出日志到控制台 -->
    <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
        <encoder>
            <pattern>%d{yyyy-MM-dd HH:mm:ss} %-5level [%thread] %logger{36} [%file:%line] - %msg%n</pattern>
        </encoder>
    </appender>

    <!-- 配置 AccessAppender,用于处理 HTTP 访问日志 -->
    <appender name="ACCESS" class="ch.qos.logback.access.Appender">
        <encoder>
            <pattern>%h %l %u %t "%r" %s %b %D</pattern> <!-- 自定义输出格式 -->
        </encoder>
    </appender>

    <!-- 配置日志级别 -->
    <root level="INFO">
        <appender-ref ref="STDOUT" />  <!-- 将控制台输出连接到根日志 -->
    </root>

    <logger name="ch.qos.logback.access" level="DEBUG">
        <appender-ref ref="ACCESS" />  <!-- 将访问日志连接到特定日志级别 -->
    </logger>

</configuration>

6.4.Logback 的 JDBCAppender

将日志输出到数据库中
1.先数据库建表:

CREATE TABLE logs (
    id INT AUTO_INCREMENT PRIMARY KEY,
    timestamp TIMESTAMP NOT NULL,
    level VARCHAR(10) NOT NULL,
    thread VARCHAR(50),
    logger VARCHAR(100),
    message TEXT
);

2.配置xml:

<configuration>

    <!-- JDBC Appender -->
    <appender name="JDBC" class="ch.qos.logback.classic.db.JDBCAppender">
        <connectionSource>
            <driverClass>com.mysql.cj.jdbc.Driver</driverClass>  
            <url>jdbc:mysql://localhost:3306/database</url>  
            <user>username</user>  
            <password>password</password>  
        </connectionSource>
        
        <encoder>
            <pattern>%date %level [%thread] %logger{10} %msg%n</pattern> 
        </encoder>
    </appender>

    <root level="debug">
        <appender-ref ref="JDBC" />  <!-- 引用 JDBC Appender -->
    </root>
</configuration>

3.数据存储结果:

id	timestamp	        level	thread	logger	                    message
1	2024-10-22 10:00:00	INFO	main	com.example.LoginServlet	用户 admin 登录成功
2	2024-10-22 10:01:00	WARN	main	com.example.LoginServlet	登录失败,用户名: user
3	2024-10-22 10:02:00	ERROR	main	com.example.LoginServlet	数据库连接失败

已经集成了与数据库操作,很方便

二、日志分离管理

1. 日志分类

将日志根据其性质和使用场景进行分类,常见的分类方式:

  • 操作日志:
    记录用户的登录和登出时间、IP 地址、操作行为(如数据查询、修改、删除等)。
    例如,记录如下信息:
  2024-10-22 10:00:00 INFO 用户 admin 登录成功, IP 地址: 192.168.1.1
  2024-10-22 10:05:00 INFO 用户 admin 修改了文件 config.xml
  • 安全日志:
    记录安全相关事件,如访问控制失败、入侵检测、恶意软件检测等
  2024-10-22 10:15:00 WARN 用户 user 尝试登录失败, 原因: 密码错误
  2024-10-22 10:20:00 WARN 检测到异常登录活动: 用户 admin 从异常 IP 地址 203.0.113.45 登录
  • 审计日志:
    记录对敏感数据的访问、修改、删除操作
  2024-10-22 10:30:00 INFO 用户 admin 访问敏感文件 sensitive_data.txt
  2024-10-22 10:35:00 INFO 用户 admin 删除了用户账户 user123
  • 系统日志:
    记录系统启动、关闭、升级、故障和配置变更等事件。
  2024-10-22 10:00:00 INFO 系统启动
  2024-10-22 11:00:00 INFO 配置文件 config.yml 被修改

2.角色分离与权限管理

2.1. 角色理解

废除超级管理员,将权限分配。 三员对应三角色
1.系统管理员(配置):
主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

2.安全管理员(授权):
主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

3.审计管理员(审计):
主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

2.2.具体管理

1.系统管理员:
主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。

2.安全管理员:
主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销,用户操作行为的安全设计,安全保密设备管理,系统安全事件的审计、分析和处理,应急条件下的安全恢复。

3.审计管理员:
主要负责对系统管理员和安全保密员的操作行为进行审计、分析和监督检查,及时发现违规行为并定期向系统安全保密管理机构汇报情况。

系统管理员、安全保密管理员和安全审计员不能以其他用户身份登陆系统,不能查看和修改任何业务数据库中的信息,不能删改日志内容。
同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员和安全审计员不得由同一人兼任。

2.3. 日志中的三员管理

  • 系统管理员:
    负责日志管理系统的配置和维护,确保日志的准确性和完整性。管理员可以进行系统配置、日志存储路径设置和用户权限管理。
    权限:
    访问所有日志数据,包括操作日志、审计日志和安全事件日志。
    配置日志记录参数和存储策略。

  • 操作员:
    负责日常操作和监控,检查系统日志以确保系统正常运行,及时发现异常并上报。
    权限:
    访问特定的操作日志和系统事件日志,但不能访问敏感数据或审计日志。
    可以生成报告和查看操作历史。

  • 审计员:
    进行定期审计和检查,分析日志数据以识别潜在的安全问题。
    权限:
    访问所有日志数据,进行审计和分析。
    不能进行日志修改或系统配置。

3.日志审计与监控

3.1.简单解释:

日志监控:主要关注实时跟踪系统的状态,及时捕获异常、错误或特定事件,以便快速响应。
日志分析:旨在深入挖掘日志数据,识别趋势、模式和潜在的安全问题,通常在后续阶段进行

3.2.ELK

ELK 是ElasticSearch开源生态中提供的一套完整日志收集、分析以及展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash 和 Kibana。

  • 1.ElasticSearch ,它是一个近实时(NRT)的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎,使用 Java 语言编写。
  • 2.Logstash ,它是一个具有近实时(NRT)传输能力的数据收集、过滤、分析引擎,用来进行数据收集、解析、过滤,并最终将数据发送给ES。
  • 3.Kibana ,它是一个为 ElasticSearch 提供分析和展示的可视化 Web 平台。它可以在 ElasticSearch 的索引中查找,交互数据,并生成各种维度表格、图形以及仪表盘。

    比较复杂且长,可以算另一个领域来看,这里先不说

4.Linux的日志分离

4.1.Linux日志类型

1.【内核及系统日志】
2.【用户日志】
3.【程序日志】

分类 说明
daemon 后台进程相关的信息
kern 内核产生的信息
lpr 打印系统产生的信息
authpriv 安全认证信息
cron 定时计划任务相关的信息
mail 邮件相关的信息
syslog 日志服务本身的信息
news 新闻系统
local0~local7 8个系统保留的类,供其他程序使用或用户自定义

4.2.常见日志

Linux系统本身和大部分服务器程序的日志文件默认情况下都放置在目录“/var/log”中。一部分程序公用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序由于日志文件不止一个,所以会在“/var/log”目录中建立相应的子目录来存放日志文件,这样既保证了日志文件目录的结构清晰,又可以快速地定位日志文件。有相当一部分日志文件只有root用户才有权限读取,这保证了相关日志信息的安全性。

日志路径 作用
/var/log/cron 记录了系统定时任务相关的日志
/var/log/cups/ 记录打印信息的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自建信息
/var/log/btmp 记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看。
/var/log/lastlog 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/mailog 记录邮件信息
/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件。
/var/log/secure 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。比如说系统的登录,ssh的登陆,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。
/var/run/utmp 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询。

4.3.日志级别

比普通的日志多几个级别:

编码 优先级 严重性
7 debug 信息对开发人员调试应用程序有用,在操作过程中没用
6 info 正常的操作信息,可以收集报告,测量吞吐量等
5 notice 注意,正常但重要的事件
4 warning 警告,如果不采取措施,将会发生错误,例如文件系统已使用90%
3 err 错误,阻止某个模块或程序的功能不能正常使用
2 crit 关键错误,已经影响到整个系统或软件不能正常工作
1 alert 警报,需要立即修改
0 emerg 紧急,内核崩溃等严重信息

4.4.日志轮换

把旧的日志删除,轮换新的日志内容

参数 参数说明
daily 日志的轮替周期是每天
weekly 日志的轮替周期是每周
monthly 日志的轮替周期是每月
rotate 数字
compress 日志轮替时,旧的日志进行压缩
create mode owner group 建立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp
mail address
missingok 如果日志不存在,则忽略该日志的警告信息
notifempty 如果日志为空文件,则不进行日志轮替
minsize 大小 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替
size 大小
dateext 使用日期作为日志轮替文件的后缀。如secure-20241025

PS:logback也可以实现分离,但要单独对类在xml里面进行设置;目前我还在找解决办法

posted @ 2024-10-22 15:17  20222320  阅读(24)  评论(0编辑  收藏  举报