秒懂Springboot之如何使用logback做日志脱敏和截取

2024-04-07 01:36

本文主要是介绍秒懂Springboot之如何使用logback做日志脱敏和截取,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

[版权申明] 非商业目的注明出处可自由转载
出自:shusheng007

文章目录

  • 前言
  • 日志
    • logback
    • 原理
    • 实现原理
    • 方案
  • 技术总结
  • 总结
  • 源码

前言

日志的重要性无需多言,而数据的安全性亦不用赘述,但不幸的是它两常常产生矛盾。要便利就会牺牲安全,要安全就会牺牲便利,所以需要找到一个折中的方案:既满足日志方便审计以及查找问题的需求又兼顾安全。这就是我们今天要谈论的日志脱敏的问题。

日志

现在java生态最常使用的几个用来记录日志的技术有:log4j,logback,log4j2 , tinyLog,不过现在我们一般会通过SLF4J来集成日志。SLF4J的意思是Simple Logging Facade for Java,可见其是一个面板,一个日志的抽象层。我们通过SLF4J接入日志后,以后想要更换其他的实现了SLF4J的日志库就比较方便了,无需改动代码。

如下图所示:
在这里插入图片描述
图片出至 logback官方文档

logback

2001年瑞士程序员Ceki Gülcü创建了Log4j,多年后的一天早上起来他决定不玩了,于是 2015又发起了SLF4J和Logback新项目,目标是成为前辈log4j的继任者。但是对于大型互联网系统,选择Log4J2的比较多,因为其性能更加优秀,据说每秒可以写入1千8百万条日志,而logback最多每秒写入200万条日志,其还有非常强大的插件系统。可能就是因为复杂而强大,2021年阿里云发现了零日漏洞,被称为近10年最严重的软件漏洞… 阿里第一时间向Apache基金会报告了此漏洞,却没有向中国信息相关部门报告,最后还被处罚了。

闲话聊的差不多了就,该如正题了。现在由于Springboot 默认集成logback,所以logback越来越流行。所以今天就聊一下如何使用logback进行日志的脱敏和截取。

Logback 被分成三个不同的模块:logback-core,logback-classic,logback-access。我们一般会使用logback-core和logback-classic,logback-access 用来与 Servlet 容器(Tomcat、Jetty)进行整合提供http访问日志的功能。

原理

logback的学习曲线还是比较陡曲的,我第一次接触的时候就被那个配置搞的相当懵逼。相信工作了几年的同学如果没有专门研究过还是感觉无从下手。由于我们这篇文章主要着眼于脱敏和截取,而不是如何使用logback,所以对其如何使用不会说的太详细,有相关需求的可以看官方文档。如果需求特别强烈可以抽时间在写一篇相关文章。

logback里面有几个非常关键的概念:

  • Logger

    日志对象的抽象,负责日志等级,Mark的设置等

  • Appender

    负责将日志输出到不同的目的地,控制台、文件、数据库、网络…

  • Encoder

    顾名思义,它是编码用的。那编什么码呢?Encoder将日志事件转换为字节数组,同时将字节数组写入到一个 OutputStream 中。

  • Layouts

    负责将日志事件转化为格式化的字符串

当输出一个日志logEvent时,其处理流程如下:

Appender ->Encoder->Layout-> Converter

如下图所示。
在这里插入图片描述

日志最后都会经过各种Converter, 所以我们可以在这一步来做文章。

实现原理

在springboot中使用logback的时候,通常会在resource文件下创建一个名为logback-spring.xml的文件。logback配置文件本来的命名为logback.xml,当加上spring后缀猴就可以在logback配置文件中使用spring相关的配置了,这块一会再说。

这里我们做一个最低配置。一个 ConsoleAppender, 一个PatternLayoutEncoder,一个PatternLayout。如下所示:

<?xml version="1.0" encoding="UTF-8"?>
<configuration><appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender"><encoder><pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{40} - %msg%n</pattern></encoder></appender><root level="INFO"><appender-ref ref="CONSOLE"/></root></configuration>

我们的日志内容的转换是由PatternLayout里的%msg负责的,它其实是配置了一个MessageConverter ,源码非常简单,如下所示。

public class MessageConverter extends ClassicConverter {public String convert(ILoggingEvent event) {return event.getFormattedMessage();}
}

可见MessageConverter 没有做任何日志的转化,直接将获取到的格式化日志直接返回了。 要想对输出的日志做一些脱敏等工作我们就需要实现自己的MessageConverter

方案

我们准备实现如下功能

  • 消息超长截取。例如设置最大长度为1024个字符,超过则截取并在末尾加上一个<<<
  • 敏感信息处理。例如我们可以指定部分字符使用*替换。
  • 匹配深度。这个设计是为了性能,一般也用不上。例如我们认为手机号是敏感信息,很不辛一段日志里面包含了1000个手机号,如果深度设置为200,200以后的手机号就不在按敏感信息处理了。

下面是如何实现:

  1. 继承ClassicConverter,重写其start() 方法。从上面可见这个类也是MessageConverter 的基类。
 @Overridepublic void start() {List<String> options = getOptionList();//从参数选项中提取配置if (options != null) {try {final Integer targetMaxLength = Integer.valueOf(options.get(0));...} catch (Exception e) {e.printStackTrace();}}}

在此方法内,我们可以通过父类DynamicConvertergetOptionList()获取从外界传入的参数。这些参数包括,最大长度、匹配敏感信息的正则表达式,对敏感信息的处理方式…

  1. 重写DynamicConverterconvert(ILoggingEvent event)方法
 @Overridepublic String convert(ILoggingEvent event) {String source = event.getFormattedMessage();...int length = source.length();boolean isOutLengthLimit = length > maxLength;if (isOutLengthLimit || replaceMatcher != null) {StringBuilder sb = new StringBuilder(isOutLengthLimit ? maxLength + 6 : length + 6);//超长截取if (isOutLengthLimit) {sb.append(source, 0, maxLength).append("<<<");} else {sb.append(source);}if (replaceMatcher != null) {return replaceMatcher.execute(sb, PolicyEnum.fromName(policy));}return sb.toString();}return source;}

当获取到日志消息后,对其长度进行判断,超长则截取。然后构建一个ReplaceMatcher进行正则匹配,脱敏。

  1. 创建一个静态内部类ReplaceMatcher ,这个类是真正干活的类
    public static class ReplaceMatcher {private final Pattern pattern;private final int depth;...public String execute(StringBuilder source, PolicyEnum policy) {Matcher matcher = pattern.matcher(source.toString());int depthCounter = 0;while (matcher.find() && (depthCounter < depth)) {depthCounter++;int start = matcher.start();int end = matcher.end();if (start < 0 || end < 0) {break;}//匹配到的数据source.replace(start, end, facade(matcher.group(), policy));}return source.toString();}private String facade(String source, PolicyEnum policy) {final int length = source.length();StringBuilder sb = new StringBuilder(source);if (policy == REPLACE) {if (length > 128) {return sb.replace(3, length - 3, String.format("[%s]", length - 6)).toString();}if (length > 10) {return sb.replace(3, length - 3, repeat('*', length - 6)).toString();}}...return sb.replace(0, length, repeat('*', length)).toString();}}

其逻辑也很简单。使用正则表达式去匹配,如果匹配到了就处理。处理的方式我们可以自己指定,文中展示了REPLACE这种方案。

  • 当敏感信息长度大于128个字符时,保留前后3个字符,中间字符使用[省略的长度]来代替。例如 字符串: abc这里省略了200个字符cba 会被替换为abc[200]cba
  • 当长度大于10小于128时,保留前后各三个字符,中间用*替换。例如: 13512341234替换为:135*****234
  • 当小于10,则全部替换为*。例如password替换为********
  1. 如何使用

当完成以上步骤后我们的DesensitizedMessageConverter 就大功告成了。接下来就是怎么让它生效的问题了。

再来看一眼我们的logback的配置文件,其中%msg是在配置其原生的MessageConverter ,我们的目标是要用我们自己的DesensitizedMessageConverter来替换掉MessageConverter ,那怎么弄呢?

...<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{40} - %msg%n</pattern>
...    

logback提供了一个叫<coconversionRule >的标签,通过这个标签我们就可以使用自定义的Converter

<configuration><springProperty scope="context" name="LOG_CON_MAX_LIMIT" source="cus-log.properties.max-limit"/><springProperty scope="context" name="LOG_CON_POLICY" source="cus-log.properties.policy"/><springProperty scope="context" name="LOG_CON_REGEX" source="cus-log.properties.regex"/><property name="LOG_CON_DEPTH" value="100"/><property name="LOG_CON_SUM" value="'${LOG_CON_MAX_LIMIT}','${LOG_CON_REGEX}','${LOG_CON_POLICY}','${LOG_CON_DEPTH}'"/><conversionRule conversionWord="dmsg" converterClass="top.ss007.log.cuslog.DesensitizedMessageConverter"/>...<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{40} - %dmsg{${LOG_CON_SUM}}%n</pattern>...    </configuration>

首先我们定义DesensitizedMessageConverterconversionWorddmsg,这个随便叫,只有不和logback自己已经使用的重复了就行。然后我们就可以使用dmsg来替换msg了。正常情况下已经OK了,但是我们的Conveter需要传入参数,例如最大长度,正则表达式等,这怎么办呢?

如下所示,只有在dmsg后面使用{}依次传入即可,传几个都可以,但是顺序以及个数是与我们在DesensitizedMessageConverter解析一一对应的,不能瞎传。

%dmsg{p1,p2,p3...}

上文是我通过application.yaml读取了相应的值传到logback里的

cus-log:properties:max-limit: 1024policy: REPLACEregex: (?<="password":").*?(?=") #匹配  {"password":"123456"} 中的123456

技术总结

这一套方案看起来不难,但其实要求对Logback有比较全面的理解才能做到,下面我总结几点关键点:

  1. 清楚logback的日志处理流程,确定要对MessageConverter 下手
  2. 清楚如何给Converter传参和如何解析参数
  3. 清楚如何应用自定义的Converter
  4. 会写各种正则表达式

总结

总体来说logback的学习曲线还是比较陡的,由于很多同学参与项目时,日志已经配置好了,平时也不会去改动它,导致很多人工作了很多年对其都不是很了解。不过不了解也不要紧,日志虽然非常非常非常重要,但其具有一旦设定就几乎不改改的特性。但是,技多不压身…

源码

一如既往,你可以从个人博客首发获取源码

这篇关于秒懂Springboot之如何使用logback做日志脱敏和截取的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/881333

相关文章

Spring boot整合dubbo+zookeeper的详细过程

《Springboot整合dubbo+zookeeper的详细过程》本文讲解SpringBoot整合Dubbo与Zookeeper实现API、Provider、Consumer模式,包含依赖配置、... 目录Spring boot整合dubbo+zookeeper1.创建父工程2.父工程引入依赖3.创建ap

使用Python删除Excel中的行列和单元格示例详解

《使用Python删除Excel中的行列和单元格示例详解》在处理Excel数据时,删除不需要的行、列或单元格是一项常见且必要的操作,本文将使用Python脚本实现对Excel表格的高效自动化处理,感兴... 目录开发环境准备使用 python 删除 Excphpel 表格中的行删除特定行删除空白行删除含指定

SpringBoot结合Docker进行容器化处理指南

《SpringBoot结合Docker进行容器化处理指南》在当今快速发展的软件工程领域,SpringBoot和Docker已经成为现代Java开发者的必备工具,本文将深入讲解如何将一个SpringBo... 目录前言一、为什么选择 Spring Bootjavascript + docker1. 快速部署与

深入理解Go语言中二维切片的使用

《深入理解Go语言中二维切片的使用》本文深入讲解了Go语言中二维切片的概念与应用,用于表示矩阵、表格等二维数据结构,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧... 目录引言二维切片的基本概念定义创建二维切片二维切片的操作访问元素修改元素遍历二维切片二维切片的动态调整追加行动态

Spring Boot spring-boot-maven-plugin 参数配置详解(最新推荐)

《SpringBootspring-boot-maven-plugin参数配置详解(最新推荐)》文章介绍了SpringBootMaven插件的5个核心目标(repackage、run、start... 目录一 spring-boot-maven-plugin 插件的5个Goals二 应用场景1 重新打包应用

prometheus如何使用pushgateway监控网路丢包

《prometheus如何使用pushgateway监控网路丢包》:本文主要介绍prometheus如何使用pushgateway监控网路丢包问题,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录监控网路丢包脚本数据图表总结监控网路丢包脚本[root@gtcq-gt-monitor-prome

SpringBoot+EasyExcel实现自定义复杂样式导入导出

《SpringBoot+EasyExcel实现自定义复杂样式导入导出》这篇文章主要为大家详细介绍了SpringBoot如何结果EasyExcel实现自定义复杂样式导入导出功能,文中的示例代码讲解详细,... 目录安装处理自定义导出复杂场景1、列不固定,动态列2、动态下拉3、自定义锁定行/列,添加密码4、合并

Spring Boot集成Druid实现数据源管理与监控的详细步骤

《SpringBoot集成Druid实现数据源管理与监控的详细步骤》本文介绍如何在SpringBoot项目中集成Druid数据库连接池,包括环境搭建、Maven依赖配置、SpringBoot配置文件... 目录1. 引言1.1 环境准备1.2 Druid介绍2. 配置Druid连接池3. 查看Druid监控

Python通用唯一标识符模块uuid使用案例详解

《Python通用唯一标识符模块uuid使用案例详解》Pythonuuid模块用于生成128位全局唯一标识符,支持UUID1-5版本,适用于分布式系统、数据库主键等场景,需注意隐私、碰撞概率及存储优... 目录简介核心功能1. UUID版本2. UUID属性3. 命名空间使用场景1. 生成唯一标识符2. 数

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu