Ubuntu Node.js 日志权限问题排查与修复
一、快速定位问题
- 查看具体报错关键词:例如 EACCES、permission denied、open ‘/var/log/…’ failed,确认是哪个文件或目录无权限。
- 确认运行用户与进程:执行 ps aux | grep node 或 systemctl status myapp,确定 Node 进程是以 root 还是 普通用户(如 nodeuser) 运行。
- 检查目录与文件权限:对日志目录执行 ls -ld /var/log/your_app,对日志文件执行 ls -l /var/log/your_app/app.log,核对属主、属组与权限位(如 755/644/640)。
- 验证可写性:切换到运行用户后尝试创建/写入文件,例如 sudo -u nodeuser touch /var/log/your_app/test.log;或在 Node 中临时写入测试文件以复现问题。
- 若使用进程管理工具,核对其日志配置与运行用户是否一致(如 PM2、systemd)。
二、标准修复步骤
- 创建专用日志目录并设定属主与权限(以运行用户为 nodeuser 为例):
- 创建目录:sudo mkdir -p /var/log/myapp
- 设定属主:sudo chown nodeuser:nodeuser /var/log/myapp
- 设定目录权限:sudo chmod 755 /var/log/myapp
- 设定日志文件权限(仅授权用户/组可读):
- 新建或调整日志文件属主:sudo chown nodeuser:adm /var/log/myapp/app.log
- 设定文件权限:sudo chmod 640 /var/log/myapp/app.log
- 在 Node.js 中正确配置日志路径(示例用 winston):
- 代码示例:
- const winston = require(‘winston’);
- const logger = winston.createLogger({
- level: ‘info’,
- format: winston.format.json(),
- transports: [new winston.transports.File({ filename: ‘/var/log/myapp/app.log’ })]
- });
- 若以 systemd 托管服务,确保服务以目标用户运行:
- 编辑服务文件(如 /etc/systemd/system/my_node_app.service):
- [Service]
- User=nodeuser
- WorkingDirectory=/var/www/my_node_app
- ExecStart=/usr/bin/node app.js
- Restart=always
- 重新加载并重启:sudo systemctl daemon-reload && sudo systemctl restart my_node_app
- 避免不安全的权限:不要使用 777;遵循最小权限原则,目录常用 755,日志文件常用 640。
三、日志轮转与清理
- 使用 logrotate 管理日志轮转(创建 /etc/logrotate.d/myapp):
- 配置示例:
- /var/log/myapp/*.log {
- daily
- rotate 7
- compress
- missingok
- notifempty
- create 640 nodeuser adm
- }
- 测试与生效:sudo logrotate -f /etc/logrotate.d/myapp
- 使用 PM2 内置日志轮转(在 ecosystem.config.js 中):
- 配置示例:
- module.exports = {
- apps: [{
- name: ‘my_node_app’,
- script: ‘app.js’,
- out_file: ‘/var/log/nodejs/my_node_app-out.log’,
- error_file: ‘/var/log/nodejs/my_node_app-error.log’,
- log_date_format: ‘YYYY-MM-DD HH:mm:ss’,
- combine_logs: true,
- max_size: ‘10M’,
- retain: 7
- }]
- };
- 应用配置:pm2 start ecosystem.config.js 或 pm2 restart my_node_app。
四、常见场景与命令清单
- 场景一:写入 /var/log/ 下的自定义目录
- 目录与权限:sudo mkdir -p /var/log/myapp && sudo chown nodeuser:nodeuser /var/log/myapp && sudo chmod 755 /var/log/myapp
- 文件权限:sudo touch /var/log/myapp/app.log && sudo chown nodeuser:adm /var/log/myapp/app.log && sudo chmod 640 /var/log/myapp/app.log
- systemd 运行用户:确保 User=nodeuser 已设置并重启服务
- 场景二:应用内自动创建目录
- 在代码中先确保目录存在(如 fs.mkdirSync(logDir, { recursive: true })),再初始化日志文件写入
- 场景三:更细粒度访问控制
- 使用 ACL 授权特定用户读取日志:例如 setfacl -m u:alice:r /var/log/myapp/app.log
- 场景四:PM2 日志
- 在 ecosystem.config.js 中配置 out_file/error_file 路径,确保 nodeuser 对这些路径有写权限,必要时在 /var/log/nodejs 上执行与上文一致的属主与权限设置。