Debian 环境下 Node.js 日志监控最佳实践
一 日志采集与结构化
- 在 Node.js 应用中优先使用高性能、可扩展的日志库,如 winston、pino、log4js;生产环境建议默认日志级别为 info 或 warn,调试阶段再开启 debug。
- 统一采用结构化日志(JSON),便于检索、聚合与分析;结合 morgan(HTTP 请求日志)与业务日志分层输出。
- 输出目标建议“双写”:一方面写入本地文件便于快速排障,另一方面发送到集中式日志平台做长期存储与可视化。
- 进程管理场景(如 PM2)可配合 pm2-logrotate 做按日/按大小切分,避免单文件过大影响查询与写入性能。
二 本地存储与轮转
- 使用 logrotate 管理应用日志生命周期(按天轮转、压缩、保留策略),示例配置:
/var/log/myapp/*.log {
daily
rotate 7
compress
delaycompress
missingok
notifempty
create 640 root adm
}
如需通知应用重新打开日志文件,可在 postrotate 中向进程发送 USR1 信号(需应用支持)。
- 在应用内也可使用 winston-daily-rotate-file 或 pino-roll 等库做按时间/大小切分,形成“应用内轮转 + 系统级轮转”的双重保障。
- 为日志目录与文件设置最小权限(如 640 root adm),避免敏感信息泄露。
三 集中式日志与可视化
- 小规模起步可用 Filebeat → Elasticsearch → Kibana(ELK)或 Graylog 搭建集中式平台;中大规模建议引入 Fluentd/Logstash 做缓冲与解耦。
- Fluentd 示例(将日志发往本机 Elasticsearch):
@type forward
port **24224**
bind **0.0.0.0**
@type elasticsearch
host **localhost**
port **9200**
logstash_format **true**
flush_interval **10s**
- 在 Kibana/Graylog 中按服务、级别、状态码、trace_id 等字段建立索引与可视化面板,便于快速定位问题。
四 查询性能与成本控制
- 控制日志“信噪比”:生产默认 info/warn,仅在排障时临时开启 debug;避免打印大对象与堆栈全量。
- 采用异步日志与批量写入,减少 I/O 阻塞;对热点数据可引入 Redis 缓存高频查询结果。
- 使用 SSD 存储日志,缩短检索与写入延迟;对数据库/ES 存储的日志按常用查询字段建立索引,并尽量缩小时间范围与关键词命中。
- 合理设置保留周期(如近 7–14 天热数据、更久冷归档),定期清理过期日志,避免磁盘被占满。
五 监控告警与安全合规
- 建立基于日志的关键告警:如 5xx 比例突增、错误日志速率异常、关键业务接口失败率上升等;结合 Prometheus + Grafana 做指标可视化与阈值告警。
- 充分利用 journalctl 统一查看 systemd 服务日志,便于排查进程启动、崩溃与重启等问题:
- 查看服务日志:journalctl -u your-app.service
- 按时间过滤:journalctl --since “2025-12-24 00:00:00” --until “2025-12-24 12:00:00”
- 加强权限与合规:限制日志文件访问权限(如 640 root adm),对敏感字段(如 Authorization、password)做脱敏;定期审计日志访问与导出行为。
