审计日志在分布式系统中的应用

前言
分布式系统的执行环境往往是异常复杂的,很多情况涉及到多节点间的消息通信。相比较于单节点系统而言,分布式系统在问题追踪,排查方面显然也复杂很多。那么这个时候,在分布式系统中,增加哪些类型的日志数据,来帮助我们发现和定位问题呢?答案就是我们今天将要阐述的审计日志(Audit log)。

审计日志的概念
很多人可能在想这样一个问题:同样是日志,审计日志和普通的日志,区别在于哪里呢?

审计日志,英文名为audit log,而audit这个单词的中文意思为“查账”,说明这些信息是具有准确记录的,并且会有规定的(账单)格式。也就是说,审计日志它会明确记录过往的“操作流水”,并且每天记录格式规则统一。这样能够方便地帮助我们分析这些日志。在分布式系统中,这些“操作流水”其实就是系统中每一次的操作行为。

下面笔者截取了HDFS的audit日志做为例子,如下:

2018-11-09 16:08:37,209 INFO FSNamesystem.audit: allowed=true ugi=hdfs (auth:SIMPLE) ip=xx.xx.xx.xx cmd=rename src=/tmp dst=/tmp2 perm=hdfs:hdfs:rw-r–r-- proto=rpc
2018-11-09 16:08:37,209 INFO FSNamesystem.audit: allowed=true ugi=hdfs (auth:SIMPLE) ip=/xx.xx.xx.xx cmd=open src=/data dst=null perm=null proto=rpc

我们可以看到,每天记录都准确地记下了每次操作行为的具体属性信息,因为日志格式非常规则化,我们完全可以将它们做文本处理分析,然后导入到SQL表里进一步进行查询分析。比如可以做“哪个时间段,哪部分操作占比最多”等等类似这样的查询。

审计日志功能类的编写
审计日志说到底它还是一种日志,只是经过人为的加工包装后再输出。所以对于审计日志工具类的开发来说,其实并不是特别难的。主要实现以下几点:

定义好消息的统一格式
构造出灵活的消息构建模式
复用Logger日志实例进行日志打印
第一点,消息格式的定义。这个决定了消息的最终输出内容,这个在开始时是一定要设想好的,哪些属性要必须输出的,哪些是可选的。下面是一个例子:

private static final String MSG_PATTERN =
“user=%s | ip=%s | op=%s %s | ret=%s”;

这里,我们用pattern模式的方法,要比直接字符串append方式组装灵活许多。
在上面的格式里,我们定义了4个属性值。

然后是对于日志消息的构造,这里强调的是灵活性,我们可以用构建者模式来做,示例代码如下:

首先AuditMessage消息对象如下:

/**
 * Defines audit message structure.
 */
public class AuditMessage implements Message {

  private String message;
  private Throwable throwable;

  private static final String MSG_PATTERN =
      "user=%s | ip=%s | op=%s %s | ret=%s";
  ...
  /**
   * Builder class for AuditMessage.
   */
  public static class Builder {
    private Throwable throwable;
    private String user;
    private String ip;
    private String op;
    private Map<String, String> params;
    private String ret;

    public Builder(){

    }

    public Builder setUser(String usr){
      this.user = usr;
      return this;
    }

    public Builder atIp(String ipAddr){
      this.ip = ipAddr;
      return this;
    }

    public Builder forOperation(String operation){
      this.op = operation;
      return this;
    }

    public Builder withParams(Map<String, String> args){
      this.params = args;
      return this;
    }

    public Builder withResult(String result){
      this.ret = result;
      return this;
    }

    public Builder withException(Throwable ex){
      this.throwable = ex;
      return this;
    }

    public AuditMessage build(){
      AuditMessage auditMessage = new AuditMessage();
      // 用format方法构建完整消息
      auditMessage.message = String.format(MSG_PATTERN,
          this.user, this.ip, this.op, this.params, this.ret);
      auditMessage.throwable = this.throwable;
      return auditMessage;
    }
  }

然后在定义日志输出类,来输出这个message对象实例:

/**
 * Class to define Audit Logger for Ozone.
 */
public class AuditLogger {

  ...

  /**
   * Initializes the logger with specific type.
   * @param loggerType specified one of the values from enum AuditLoggerType.
   */
  private void initializeLogger(AuditLoggerType loggerType){
    this.logger = LogManager.getContext(false).getLogger(loggerType.getType());
  }

  public void logWriteSuccess(AuditMessage msg) {
    this.logger.logIfEnabled(FQCN, Level.INFO, WRITE_MARKER, msg, null);
  }

  public void logWriteFailure(AuditMessage msg) {
    this.logger.logIfEnabled(FQCN, Level.ERROR, WRITE_MARKER, msg,
        msg.getThrowable());
  }

审计日志在实际系统中的应用
下面我们对照上面写的类,来看看它是如何被应用到系统中的,下面的例子也是大多数分布式系统常用的audit log的打印手法。

第一步,初始化得到audit日志打印实例:

private static final AuditLogger AUDIT = new AuditLogger(AuditLoggerType.OMLOGGER);
1
在服务管理对象的关键操作行为处(RPC调用处),加上操作日志是,

  @Override
  public OmKeyLocationInfo allocateBlock(OmKeyArgs args, long clientID)
      throws IOException {
    boolean auditSuccess = true;
    Map<String, String> auditMap = (args == null) ? new LinkedHashMap<>() :
        args.toAuditMap();
    auditMap.put(OzoneConsts.CLIENT_ID, String.valueOf(clientID));
    try {
      metrics.incNumBlockAllocateCalls();
      return keyManager.allocateBlock(args, clientID);
    } catch (Exception ex) {
      metrics.incNumBlockAllocateCallFails();
      auditSuccess = false;
      AUDIT.logWriteFailure(buildAuditMessageForFailure(OMAction.ALLOCATE_BLOCK,
          auditMap, ex));
      throw ex;
    } finally {
      if(auditSuccess){
        AUDIT.logWriteSuccess(buildAuditMessageForSuccess(
            OMAction.ALLOCATE_BLOCK, auditMap));
      }
    }
  }
  ...
    public AuditMessage buildAuditMessageForFailure(AuditAction op,
      Map<String, String> auditMap, Throwable throwable) {
    return new AuditMessage.Builder()
        .setUser((Server.getRemoteUser() == null) ? null :
            Server.getRemoteUser().getUserName())
        .atIp((Server.getRemoteIp() == null) ? null :
            Server.getRemoteIp().getHostAddress())
        .forOperation(op.getAction())
        .withParams(auditMap)
        .withResult(AuditEventStatus.FAILURE.toString())
        .withException(throwable)
        .build();
  }

我们看到,在上面的失败和成功的地方都打印了audit日志,但是如果我们不考虑失败的情况,只需代码块的最后finally块区域,添加日志即可。这样可以确保无论前面逻辑执行如何,能够保证操作记录不被丢失。

OK,以上就是今天阐述的一个小的知识点,不是很复杂,但用处不小。


作者:Android路上的人
来源:CSDN
原文:https://blog.csdn.net/Androidlushangderen/article/details/84196698
版权声明:本文为博主原创文章,转载请附上博文链接!

原文地址:http://blog.51cto.com/13954634/2321186

时间: 2024-11-08 15:51:48

审计日志在分布式系统中的应用的相关文章

日志:分布式系统的核心

我们经常听到很多名词,NoSQL数据库.KV存储.Hadoop.raft.paxos 以及版本控制等等,这些中间件或者协议本质上都或多或少依赖于日志,可以发现日志一直都在分布式系统中扮演者非常重要的角色. 什么是日志? 日志就是按照时间顺序追加的.完全有序的记录序列,其实就是一种特殊的文件格式,文件是一个字节数组,而这里日志是一个记录数据,只是相对于文件来说,这里每条记录都是按照时间的相对顺序排列的,可以说日志是最简单的一种存储模型,读取一般都是从左到右,例如消息队列,一般是线性写入log文件,

ABP官方文档翻译 4.6 审计日志

审计日志 介绍 关于IAuditingStore 配置 通过特性启用/禁用 注意事项 介绍 维基百科:“审计追踪(也称为审计日志)是与安全相关的按时间先后的记录.记录集合.记录的目的地和源,提供一系列活动的纪实证据,这些活动可能在任何时刻影响一个特定操作.过程或事件.” ABP提供了基础设施自动记录应用所有的交互.它可以记录方法调用的调用者和参数. 基本上,保存的字段有:相关的tenant id,调用者user id,调用者service name(调用方法的类),调用者method name,

ABP应用层——审计日志

ABP应用层——审计日志 点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之19.ABP应用层——审计日志 ABP是“ASP.NET Boilerplate Project (ASP.NET样板项目)”的简称. ABP的官方网站:http://www.aspnetboilerplate.com ABP在Github上的开源项目:https://github.com/aspnetboilerplate 维基百科定义:审计跟踪(也称为审核日志)是一个安全相关的时间

【分布式】Zookeeper在大型分布式系统中的应用

一.前言 上一篇博文讲解了Zookeeper的典型应用场景,在大数据时代,各种分布式系统层出不穷,其中,有很多系统都直接或间接使用了Zookeeper,用来解决诸如配置管理.分布式通知/协调.集群管理和Master选举等一系列分布式问题. 二. Hadoop Hadoop的核心是HDFS(Hadoop Distributed File System)和MapReduce,分别提供了对海量数据的存储和计算能力,后来,Hadoop又引入了全新MapReduce框架YARN(Yet Another R

python 拉取rds 审计日志

此脚本可以拉取rds 审计日志 并且插入本地数据中. #!/usr/bin/env  python2.6 #coding=utf-8 import os from aliyunsdkcore import client from aliyunsdkrds.request.v20140815 import DescribeSQLLogRecordsRequest import json import urllib import datetime,time import subprocess fro

ABP(现代ASP.NET样板开发框架)系列之19、ABP应用层——审计日志

点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之19.ABP应用层——审计日志 ABP是“ASP.NET Boilerplate Project (ASP.NET样板项目)”的简称. ABP的官方网站:http://www.aspnetboilerplate.com ABP在Github上的开源项目:https://github.com/aspnetboilerplate 维基百科定义:审计跟踪(也称为审核日志)是一个安全相关的时间顺序记录,记录这些记录的目

审计日志登录

背景:公司的审计日志经常出现不记录命令的情况,但是又无法监控到审计功能是否正常.所以我们思路是,每天从CMDB服务器 ssh登录到每一台主机.如果审计功能正常,则一定会在auditlog.info文件中有登录的记录.如果24小时内这个文件没有任何变化,则表明,该主机的audit功能异常,无法记录日志了. 创建登录脚本 #!/usr/bin/env python2.7 import commands,requests,json #host_ip = '10.47.102.185' url = 'h

Ubuntu下rsyslog集中收集mysql审计日志

服务端 1.安装最新版本rsyslog sudo apt-get install software-properties-common python-software-properties sudo add-apt-repository ppa:adiscon/v8-stable sudo apt-get update sudo apt-get install rsyslog 2.配置目录存储mysql审计日志 vim /etc/rsyslog.d/50-default.conf # add:

分布式系统中有关一致性的理解

首先什么是一致性? 一致性就是分布式系统中相互独立多个节点就某个值达成一致. 具体可分为强一致性和弱一致性. 强一致性:在任意时刻,所有节点中的数据是一样的.同一时间点,你在节点A中获取到key1的值与在节点B中获取到key1的值应该都是一样的. 弱一致性:不保证任意时刻所有节点数据一样,有很多不同实现.最广泛实现的是最终一致性.所谓最终一致性,就是不保证在任意时刻任意节点上的同一份数据都是相同的,但是随着时间的迁移,不同节点上的同一份数据总是在向趋同的方向变化.也可以简单的理解为在一段时间后,