Linux Node.js日志分析最佳实践

一、选择合适的日志库
日志库是日志分析的基础，需根据应用场景（如性能、结构化需求）选择。常用库包括：

• Winston：最流行的日志库，支持多传输方式（文件、控制台、HTTP等）、多日志级别（error、warn、info等），可通过配置输出结构化JSON日志，适合大多数Node.js应用。示例配置：

  const winston = require('winston');
  const logger = winston.createLogger({
    level: 'info',
    format: winston.format.json(), // 结构化输出
    transports: [
      new winston.transports.File({ filename: 'error.log', level: 'error' }), // 错误日志单独存储
      new winston.transports.File({ filename: 'combined.log' }), // 所有日志合并
      new winston.transports.Console({ format: winston.format.simple() }) // 开发环境输出到控制台
    ]
  });
  

• Pino：以高性能和低开销著称（比Winston快3倍以上），适合高负载应用，支持JSON格式输出，内置流处理和压缩功能。
• Bunyan：强调结构化日志，输出格式统一（JSON），易于后续用工具（如jq）解析，适合需要深度分析的场景。
• Log4js：功能丰富，支持日志级别控制、文件轮换、数据库存储等，适合需要复杂配置的企业级应用。

二、规范日志级别与格式

• 日志级别：根据日志重要性划分级别，生产环境建议关闭debug/trace级别，仅记录error（错误）、warn（警告）、info（常规信息）。例如：

  logger.error('Database connection failed'); // 关键错误
  logger.warn('High memory usage detected'); // 潜在问题
  logger.info('User logged in successfully'); // 常规操作
  

• 结构化格式：使用JSON格式记录日志，包含时间戳、日志级别、消息、上下文（如请求ID、用户ID）等信息，便于后续检索和分析。示例：

  {
    "timestamp": "2025-11-05T12:00:00Z",
    "level": "error",
    "message": "Failed to fetch user data",
    "userId": "123",
    "requestId": "abc-xyz",
    "stack": "Error: ENOENT, open '/data/user/123.json'"
  }
  

  Winston和Bunyan默认支持JSON格式，Pino则强制使用JSON，确保日志一致性。

三、实施日志轮换与管理
日志文件过大会占用大量磁盘空间，需通过日志轮换（Log Rotation）定期分割、压缩和删除旧日志。常用工具：

• Logrotate（Linux原生工具）：通过配置文件实现自动轮换。示例配置（/etc/logrotate.d/nodejs）：

  /var/log/nodejs/*.log {
    daily                # 每天轮换
    missingok            # 忽略缺失文件
    rotate 7             # 保留7天日志
    compress             # 压缩旧日志（gzip）
    notifempty           # 空日志不轮换
    create 0640 root adm # 新日志权限
    sharedscripts        # 所有日志轮换完成后执行脚本
    postrotate
      systemctl restart myapp > /dev/null 2>&1 || true # 重启应用（如PM2）以重新打开日志文件
    endscript
  }
  

• PM2日志管理：若用PM2启动应用，可通过pm2 logs命令实时查看日志，或用pm2-logrotate插件自动轮换：

  pm2 install pm2-logrotate
  pm2 set pm2-logrotate:max_size 10M  # 单个日志文件最大10MB
  pm2 set pm2-logrotate:retain 7      # 保留7个日志文件
  

  日志轮换可防止日志文件无限增长，确保系统稳定。

四、集中式日志存储与分析
对于分布式系统或多节点应用，需将日志集中存储以便统一分析。常用方案：

• ELK Stack（Elasticsearch + Logstash + Kibana）：
  • Logstash：收集Node.js日志（通过Filebeat或直接读取文件），解析结构化数据（如提取时间戳、日志级别），发送到Elasticsearch。
  • Elasticsearch：存储和索引日志数据，支持快速全文检索和复杂查询。
  • Kibana：可视化分析日志，创建仪表盘（如错误率趋势、请求响应时间分布）。示例Logstash配置（nodejs.conf）：

  input {
    file {
      path => "/var/log/nodejs/*.log"
      start_position => "beginning"
      sincedb_path => "/dev/null" # 测试环境忽略sincedb
    }
  }
  filter {
    grok { 
      match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" } 
    }
    date { 
      match => ["timestamp", "ISO8601"] 
      target => "@timestamp" 
    }
  }
  output {
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "nodejs-logs-%{+YYYY.MM.dd}"
    }
    stdout { codec => rubydebug } # 测试环境输出到控制台
  }
  

• Grafana Loki：专为微服务设计的轻量级日志聚合系统，与Prometheus、Grafana无缝集成，适合云原生环境。它通过标签（Labels）组织日志，降低存储成本，支持快速查询。
• Graylog：开源SIEM工具，支持日志收集、实时搜索、警报和可视化，适合需要安全审计的场景。

五、实时监控与告警
实时监控日志可快速发现系统问题（如错误激增、性能下降），常用工具：

• Logwatch：每日生成日志报告（如错误数量、访问统计），通过邮件发送给运维人员。安装与使用：

  sudo apt install logwatch
  sudo logwatch --output mail --mailto admin@example.com --service all  # 每日发送报告
  

• Grafana + Prometheus：Prometheus采集应用指标（如错误率、响应时间），Grafana创建仪表盘实时展示。配置Alertmanager可实现告警（如错误率超过阈值时发送短信/邮件）。
• ELK Stack告警：通过Elasticsearch的Watcher插件或Kibana的Alerting功能，设置条件（如10分钟内出现5次“500错误”），触发告警通知。

六、自动化与性能优化

• 自动化日志清理：除Logrotate外，可通过Cron Job定期删除超过一定时间的日志文件。示例Cron任务（每天凌晨2点删除7天前的日志）：

  0 2 * * * find /var/log/nodejs -name "*.log" -mtime +7 -exec rm {} \;
  

• 异步日志写入：使用Winston的Async传输或Pino的异步模式，避免日志写入阻塞主线程，提升应用性能。例如Winston的Async配置：

  const { createAsyncLogger } = require('winston');
  const asyncTransport = new winston.transports.File({ filename: 'async.log' });
  const logger = createAsyncLogger({
    transports: [asyncTransport]
  });
  

• 采样日志：高流量场景下，可对非关键日志（如debug日志）进行采样（如每100条记录1条），减少日志量。

七、敏感信息处理
日志中可能包含敏感信息（如用户密码、信用卡号），需进行脱敏处理：

• 使用中间件脱敏：如Express中间件，在日志记录前替换敏感字段：

  app.use((req, res, next) => {
    if (req.body.password) {
      req.body.password = '*****'; // 替换密码
    }
    next();
  });
  

• 日志库过滤：部分日志库（如Winston）支持自定义过滤器，过滤敏感信息。例如：

  const winston = require('winston');
  const sanitize = require('sanitize-json');
  
  const logger = winston.createLogger({
    transports: [new winston.transports.Console()],
    format: winston.format.combine(
      winston.format.json(),
      winston.format((info) => {
        info.message = sanitize(info.message); // 脱敏处理
        return info;
      })()
    )
  });
  

  敏感信息处理可避免日志泄露，符合安全规范。