Golang日志在CentOS中如何进行日志审计

在 CentOS 中对 Golang 应用进行日志审计的完整方案

一、总体思路与分层

• 应用层审计：在 Golang 中使用结构化日志（如 logrus、zap）输出包含 时间戳、用户/请求ID、操作、结果、来源IP 等关键字段，便于检索与聚合分析。
• 系统层审计：启用 auditd 记录关键系统调用与文件访问（如登录、权限变更、敏感文件读写），用于安全合规与取证。
• 日志传输与集中：通过 rsyslog 或 journald 将应用与系统日志统一到 ELK/Graylog 等平台，实现检索、告警与可视化。
• 运行与轮转：使用 systemd 托管进程、logrotate 做日志切割归档，避免单文件过大与丢失。

二、应用层 Golang 日志规范与示例

• 建议输出为 JSON，统一字段如：ts、level、msg、user_id、action、ip、method、path、status、duration_ms、trace_id；为安全审计保留必要上下文，避免记录敏感明文（如密码、密钥）。
• 使用成熟库（如 logrus、zap）并接入 lumberjack 做按大小/时间切割与压缩，便于长期留存与合规归档。
• 最小可用示例（logrus + JSON + lumberjack）：

package main

import (
	"github.com/sirupsen/logrus"
	"gopkg.in/natefinch/lumberjack.v2"
	"os"
)

func main() {
	log := logrus.New()
	log.SetFormatter(&logrus.JSONFormatter{})
	log.SetLevel(logrus.InfoLevel)

	log.SetOutput(&lumberjack.Logger{
		Filename:   "/var/log/myapp/app.log",
		MaxSize:    100, // MB
		MaxBackups: 30,
		MaxAge:     90,  // days
		Compress:   true,
	})

	log.WithFields(logrus.Fields{
		"user_id": "u1001",
		"action":  "login",
		"ip":      "192.168.1.10",
		"method":  "POST",
		"path":    "/api/v1/login",
		"status":  200,
	}).Info("user login")
}

• 运行方式建议：以 systemd 服务托管，日志同时落盘与输出到 journald，便于本地与集中式平台统一采集。

三、系统层 Linux 审计 auditd 配置

• 安装与启动：

sudo yum -y install audit auditd-libs
sudo systemctl enable --now auditd

• 常用命令与路径：
  • 查看规则：sudo auditctl -l
  • 按进程跟踪：sudo autrace -r /path/to/your/app
  • 检索事件：sudo ausearch -i -p <PID>
  • 生成报告：sudo aureport -l
  • 日志路径：/var/log/audit/audit.log
• 规则示例（按需精简与扩展）：
  • 跟踪应用二进制与配置/数据目录：

sudo tee /etc/audit/rules.d/99-golang-audit.rules >/dev/null <<'EOF'
-a always,exit -F path=/usr/local/bin/myapp -F perm=x -k myapp_exec
-a always,exit -F dir=/var/log/myapp/ -F perm=rwa -k myapp_log
-a always,exit -F path=/etc/myapp/ -F perm=rwa -k myapp_conf
-w /var/lib/myapp/ -p wa -k myapp_data
EOF
sudo augenrules --load
sudo systemctl restart auditd

• 说明：auditd 聚焦系统调用与文件访问，适合安全合规审计；syslog/rsyslog/journald 更适合常规业务与系统日志的收集与转发。

四、日志收集传输与集中分析

• 方案 A（轻量）：journald + rsyslog + 文件
  • 应用以 systemd 托管，日志写入 journald；通过 rsyslog 按服务名或路径采集并写入 /var/log/myapp/，再由 logrotate 切割归档。
• 方案 B（集中）：Filebeat/Logstash → Elasticsearch → Kibana
  • Filebeat 采集 /var/log/myapp/ 与 /var/log/audit/audit.log，Logstash 解析 JSON 与关键字段，ES 索引存储，Kibana 构建审计仪表盘与告警。
• 快速示例（Logstash 片段，解析 JSON 应用日志）：

input {
  file {
    path => "/var/log/myapp/app.log"
    start_position => "beginning"
    sincedb_path => "/var/lib/logstash/sincedb_myapp"
    codec => json
  }
}
filter {
  date {
    match => [ "ts", "ISO8601" ]
    target => "@timestamp"
  }
}
output {
  elasticsearch {
    hosts => ["http://es:9200"]
    index => "myapp-audit-%{+YYYY.MM.dd}"
  }
}

• 检索与告警建议：在 Kibana 建立索引模式 myapp-audit-*，按 user_id、action、ip、status、trace_id 构建可视化与阈值告警。

五、运行维护与合规要点

• 日志轮转与保留：为应用与审计日志配置 logrotate（示例保留 90 天、压缩归档），避免磁盘被占满导致审计数据丢失。
• 访问控制与完整性：
  • 关键日志文件权限建议 640，属主 root:adm，仅授权人员可读取；必要时启用 SELinux/AppArmor 限制访问。
  • 对含敏感信息的日志，考虑传输加密与落盘加密，并建立最小化保留与脱敏策略。
• 监控与告警：对 ERROR/5xx、登录失败、权限变更、敏感文件访问 等设定阈值告警，结合 journalctl -f、tail -f 与集中平台实现近实时处置。