审计日志在分布式系统中的应用

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了审计日志在分布式系统中的应用相关的知识,希望对你有一定的参考价值。

前言
分布式系统的执行环境往往是异常复杂的,很多情况涉及到多节点间的消息通信。相比较于单节点系统而言,分布式系统在问题追踪,排查方面显然也复杂很多。那么这个时候,在分布式系统中,增加哪些类型的日志数据,来帮助我们发现和定位问题呢?答案就是我们今天将要阐述的审计日志(Audit log)。

审计日志的概念
很多人可能在想这样一个问题:同样是日志,审计日志和普通的日志,区别在于哪里呢?

审计日志,英文名为audit log,而audit这个单词的中文意思为“查账”,说明这些信息是具有准确记录的,并且会有规定的(账单)格式。也就是说,审计日志它会明确记录过往的“操作流水”,并且每天记录格式规则统一。这样能够方便地帮助我们分析这些日志。在分布式系统中,这些“操作流水”其实就是系统中每一次的操作行为。

下面笔者截取了HDFS的audit日志做为例子,如下:

2018-11-09 16:08:37,209 INFO FSNamesystem.audit: allowed=true ugi=hdfs (auth:SIMPLE) ip=xx.xx.xx.xx cmd=rename src=/tmp dst=/tmp2 perm=hdfs:hdfs:rw-r–r-- proto=rpc
2018-11-09 16:08:37,209 INFO FSNamesystem.audit: allowed=true ugi=hdfs (auth:SIMPLE) ip=/xx.xx.xx.xx cmd=open src=/data dst=null perm=null proto=rpc

我们可以看到,每天记录都准确地记下了每次操作行为的具体属性信息,因为日志格式非常规则化,我们完全可以将它们做文本处理分析,然后导入到SQL表里进一步进行查询分析。比如可以做“哪个时间段,哪部分操作占比最多”等等类似这样的查询。

审计日志功能类的编写
审计日志说到底它还是一种日志,只是经过人为的加工包装后再输出。所以对于审计日志工具类的开发来说,其实并不是特别难的。主要实现以下几点:

定义好消息的统一格式
构造出灵活的消息构建模式
复用Logger日志实例进行日志打印
第一点,消息格式的定义。这个决定了消息的最终输出内容,这个在开始时是一定要设想好的,哪些属性要必须输出的,哪些是可选的。下面是一个例子:

private static final String MSG_PATTERN =
“user=%s | ip=%s | op=%s %s | ret=%s”;

这里,我们用pattern模式的方法,要比直接字符串append方式组装灵活许多。
在上面的格式里,我们定义了4个属性值。

然后是对于日志消息的构造,这里强调的是灵活性,我们可以用构建者模式来做,示例代码如下:

首先AuditMessage消息对象如下:

/**
 * Defines audit message structure.
 */
public class AuditMessage implements Message {

  private String message;
  private Throwable throwable;

  private static final String MSG_PATTERN =
      "user=%s | ip=%s | op=%s %s | ret=%s";
  ...
  /**
   * Builder class for AuditMessage.
   */
  public static class Builder {
    private Throwable throwable;
    private String user;
    private String ip;
    private String op;
    private Map<String, String> params;
    private String ret;

    public Builder(){

    }

    public Builder setUser(String usr){
      this.user = usr;
      return this;
    }

    public Builder atIp(String ipAddr){
      this.ip = ipAddr;
      return this;
    }

    public Builder forOperation(String operation){
      this.op = operation;
      return this;
    }

    public Builder withParams(Map<String, String> args){
      this.params = args;
      return this;
    }

    public Builder withResult(String result){
      this.ret = result;
      return this;
    }

    public Builder withException(Throwable ex){
      this.throwable = ex;
      return this;
    }

    public AuditMessage build(){
      AuditMessage auditMessage = new AuditMessage();
      // 用format方法构建完整消息
      auditMessage.message = String.format(MSG_PATTERN,
          this.user, this.ip, this.op, this.params, this.ret);
      auditMessage.throwable = this.throwable;
      return auditMessage;
    }
  }

然后在定义日志输出类,来输出这个message对象实例:

/**
 * Class to define Audit Logger for Ozone.
 */
public class AuditLogger {

  ...

  /**
   * Initializes the logger with specific type.
   * @param loggerType specified one of the values from enum AuditLoggerType.
   */
  private void initializeLogger(AuditLoggerType loggerType){
    this.logger = LogManager.getContext(false).getLogger(loggerType.getType());
  }

  public void logWriteSuccess(AuditMessage msg) {
    this.logger.logIfEnabled(FQCN, Level.INFO, WRITE_MARKER, msg, null);
  }

  public void logWriteFailure(AuditMessage msg) {
    this.logger.logIfEnabled(FQCN, Level.ERROR, WRITE_MARKER, msg,
        msg.getThrowable());
  }

审计日志在实际系统中的应用
下面我们对照上面写的类,来看看它是如何被应用到系统中的,下面的例子也是大多数分布式系统常用的audit log的打印手法。

第一步,初始化得到audit日志打印实例:

private static final AuditLogger AUDIT = new AuditLogger(AuditLoggerType.OMLOGGER);
1
在服务管理对象的关键操作行为处(RPC调用处),加上操作日志是,

  @Override
  public OmKeyLocationInfo allocateBlock(OmKeyArgs args, long clientID)
      throws IOException {
    boolean auditSuccess = true;
    Map<String, String> auditMap = (args == null) ? new LinkedHashMap<>() :
        args.toAuditMap();
    auditMap.put(OzoneConsts.CLIENT_ID, String.valueOf(clientID));
    try {
      metrics.incNumBlockAllocateCalls();
      return keyManager.allocateBlock(args, clientID);
    } catch (Exception ex) {
      metrics.incNumBlockAllocateCallFails();
      auditSuccess = false;
      AUDIT.logWriteFailure(buildAuditMessageForFailure(OMAction.ALLOCATE_BLOCK,
          auditMap, ex));
      throw ex;
    } finally {
      if(auditSuccess){
        AUDIT.logWriteSuccess(buildAuditMessageForSuccess(
            OMAction.ALLOCATE_BLOCK, auditMap));
      }
    }
  }
  ...
    public AuditMessage buildAuditMessageForFailure(AuditAction op,
      Map<String, String> auditMap, Throwable throwable) {
    return new AuditMessage.Builder()
        .setUser((Server.getRemoteUser() == null) ? null :
            Server.getRemoteUser().getUserName())
        .atIp((Server.getRemoteIp() == null) ? null :
            Server.getRemoteIp().getHostAddress())
        .forOperation(op.getAction())
        .withParams(auditMap)
        .withResult(AuditEventStatus.FAILURE.toString())
        .withException(throwable)
        .build();
  }

我们看到,在上面的失败和成功的地方都打印了audit日志,但是如果我们不考虑失败的情况,只需代码块的最后finally块区域,添加日志即可。这样可以确保无论前面逻辑执行如何,能够保证操作记录不被丢失。

OK,以上就是今天阐述的一个小的知识点,不是很复杂,但用处不小。


作者:android路上的人
来源:CSDN
原文:https://blog.csdn.net/Androidlushangderen/article/details/84196698
版权声明:本文为博主原创文章,转载请附上博文链接!

以上是关于审计日志在分布式系统中的应用的主要内容,如果未能解决你的问题,请参考以下文章

日志审计系统和数据库审计系统的区别

持久化日志引擎

如何构建一个可用的企业级API网关?

如何解决 java spring boot 应用程序中的安全审计查找日志注入

网络溯源追踪系统的日志管理与运行维护?

ELK日志审计系统-logstash