Linux JS日志审计要点有哪些

Linux JS日志审计要点

一 日志来源与采集范围

• 明确审计对象：前端 JS 的浏览器控制台/前端埋点日志与后端 Node.js 服务日志在采集与审计方式上不同，需分别覆盖。
• 统一采集路径：在 Linux 上集中采集与归档，常见位置包括 /var/log/（如 /var/log/syslog、/var/log/apache2/error.log 等），并统一送往 ELK Stack（Elasticsearch、Logstash、Kibana） 或 Splunk 进行检索与告警。
• 日志内容覆盖：同时审计访问日志、错误日志、安全相关日志，确保能从请求链路到错误根因完整还原事件。
• 合规与留痕：按业务与法规要求保留必要周期，并建立备份与恢复机制，确保取证与复盘能力。

二 日志字段与结构化要求

• 必选字段：为便于检索与关联，建议统一包含时间戳、日志级别（INFO/WARN/ERROR/DEBUG）、进程ID（PID）、模块/组件、消息内容、用户信息（如 userID）、客户端/服务端 IP、请求ID（requestId）、操作类型、操作结果、堆栈跟踪、性能指标（响应时间、CPU/内存）、配置信息。
• 输出格式：优先采用结构化日志（JSON），便于在 Logstash/Elasticsearch 中解析与聚合；Node.js 推荐使用 Winston、Pino、Bunyan 等成熟日志库实现多目标输出与级别控制。
• 上下文与链路：在 Web 应用中使用请求ID贯穿访问、业务与错误日志，确保一次请求的全链路可追踪。

三 审计规则与异常模式

• 访问异常：关注高频请求、异常 404/403、非常规 URL 路径、User-Agent 异常等，识别扫描与探测行为。
• 认证与授权：检测频繁登录失败、异常登录时段/地域、权限异常变更、越权访问敏感资源等。
• 攻击特征：匹配常见 Web 攻击载荷，如 SQL 注入、XSS、CSRF 等关键字与编码变形，结合 WAF/IDS/IPS 告警进行交叉验证。
• 行为偏离：识别批量注册、异常数据导出、规则/配置被修改等偏离基线的行为。
• 速率与阈值：对接口调用设置速率限制与阈值告警（如 express-rate-limit），识别暴力尝试与爬虫行为。

四 存储保护 轮转与访问控制

• 日志轮转与清理：使用 logrotate 按时间与大小分割与压缩，控制磁盘占用，避免单文件过大影响检索与写入。
• 存储安全：对含敏感信息的日志实施加密存储与最小权限访问控制；必要时进行脱敏后再外发或归档。
• 传输与集中：通过 Logstash/Beats 安全通道将日志集中到 Elasticsearch/Splunk，并在传输链路启用认证与加密。

五 监控告警 关联分析与持续优化

• 实时监控与告警：在 Kibana/Splunk 配置阈值与异常模式告警，对高频错误、暴力登录、可疑路径访问等触发即时通知。
• 系统层审计：结合 auditd 记录关键系统调用与文件访问，补充应用层日志的盲区，实现主机-应用一体化审计。
• 关联分析：将 前端 JS 错误/性能日志与 Node.js 访问/错误日志通过 requestId 与 用户ID 关联，辅以 SIEM 做跨源聚合与威胁狩猎。
• 持续改进：定期审查告警规则与安全事件，根据新威胁与业务变化更新策略与基线，并对处置流程进行复盘优化。