用 Nginx 做统一入口网关时,日志审计和流量监控不是“开了 access_log 就完事”,关键在于结构化记录、可追溯来源、能快速定位异常,并支撑容量评估与安全分析。
日志格式必须自定义,避免默认的局限
Nginx 默认 log_format 仅含基础字段(如 $remote_addr、$time_local),缺乏请求链路标识、上游响应状态、耗时分解、客户端真实信息等审计必需项。建议定义一个兼顾安全、排障与分析的格式:
包含唯一请求 ID:通过 map 指令从请求头(如 X-Request-ID)或自动生成(ngx_http_core_module 的 $request_id 变量),确保跨服务调用可追踪 区分真实客户端 IP:用 $http_x_forwarded_for(需校验可信代理链)或 $realip_remote_addr(配合 set_real_ip_from 使用),避免日志中全是负载均衡内网地址 记录上游行为:添加 $upstream_addr、$upstream_status、$upstream_response_time、$upstream_http_x_trace_id 等,明确后端服务是否响应、由哪台机器处理、是否超时或返回错误 标记敏感操作:对 POST /api/v1/users、DELETE 等路径或含 token/credential 参数的请求,在日志中打标(如用 map $request_method:$uri $log_level),便于后续过滤审计
按场景分离日志文件,提升可维护性
不建议所有流量混写进一个 access.log。应基于目的拆分,降低分析成本:
审计专用日志:记录含身份凭证、权限变更、数据导出等高风险操作,启用 if 条件日志(如 access_log /var/log/nginx/audit.log main if=$is_audit_request),并确保该日志独立轮转、权限严格(仅 audit 组可读) 错误与异常日志:除 error.log 外,可额外捕获 4xx/5xx 响应(access_log /var/log/nginx/error_traffic.log main if=$is_error_traffic),配合 map $status $is_error_traffic 判断,用于快速识别攻击尝试或接口故障 采样日志(可选):对高 QPS 流量(如静态资源),用 log_format … if=$sample_flag 控制 1% 抽样,平衡可观测性与磁盘压力
实时流量监控要轻量、可聚合、易告警
Nginx 自身不提供指标暴露能力,需借助轻量方案实现 Prometheus 风格监控:
用 nginx-module-vts(推荐):编译加载后,通过 /status/format/json 提供虚拟主机、upstream、cache 等维度的实时计数器(如 requests、in_bytes、resp_5xx)和直方图(response time 分位值)。Prometheus 抓取后即可绘制 QPS、错误率、P95 延迟趋势 避免重写日志做统计:不要依赖 logrotate + awk 实时解析 access.log——延迟高、CPU 开销大、无法支持秒级指标。vts 或 openresty 的 prometheus_metrics 模块才是生产首选 关键阈值需联动告警:例如 upstream 中某节点 5xx 率 > 5% 持续 2 分钟、或整体 P99 延迟突增 300ms,应触发企业微信/钉钉通知,并附带当时 top5 耗时 URI 和 upstream 地址
审计日志需长期留存且防篡改
网关日志是安全事件回溯的核心证据,不能只靠本地文件:
集中收集不可少:用 filebeat 或 fluent-bit 将日志发往 Elasticsearch 或 Loki,设置索引生命周期(ILM),保留 90–180 天;敏感字段(如 Authorization、password)须在采集端脱敏(正则替换或字段丢弃) 防止日志被覆盖或删除:Nginx 进程不应有日志文件写权限以外的权限;启用 chown 和 chmod 在 logrotate 后自动加固;关键审计日志可额外同步至只读 NAS 或对象存储(如 S3 兼容服务),开启版本控制与 WORM(一次写入多次读取)策略 定期验证完整性:对每日归档日志生成 SHA256 校验和,记录到区块链存证服务或独立签名服务器,确保事后无法抵赖“日志被删改”
把 Nginx 当作网关来用,日志和监控就得按基础设施标准设计——不是为了“有”,而是为了“查得到、信得过、用得上”。
评论(0)