日志是發現錯誤和調試代碼的便捷工具。除了日志的功能方面,從 JAVA 安全的角度來看,日志也很重要, 當發生安全漏洞時,你的日志文件是尋找所發生事件線索的第一個位置。
日志的質量至關重要。從 Java 安全的角度來看,記錄太多或太少的信息都可能是災難性的。 在本文中,我將引導你通過一種實用的 Java 日志記錄方法——我們應該記錄什么,我們不應該記錄什么。
我們應該記錄什么?
這是誰干的?識別發出此請求的用戶或系統。如果可能,使用用戶 ID 和 IP 地址。
到底是怎么回事?這是什么日志語句。許多開發人員已經認識到不同的日志級別來注釋消息的重要性(ERROR、WARN、INFO、DEBUG、TRACE)。區分功能日志記錄、安全日志記錄,甚至審計日志記錄(如果適用)是明智的。
在哪發生的?確定位置。你通常為每個類定義一個記錄器,所以這已經是一個好的開始。但是,我們也需要知道具體的方法。此外,我們想知道特定的節點,例如,如果你正在使用微服務架構。
它是什么時候發生的?時間是必不可少的,因此請確保記錄時間戳。請注意時區差異,更重要的是,每年更改兩次時區。我的建議是始終以 UTC 輸出,所以每個人都很清楚。
為什么會這樣? “為什么”通常是你需要找出的。你不能總是在一條日志中捕捉到這一點。在某些情況下,這是顯而易見的。如果是這樣,請將其作為消息的一部分。很多時候,只有看到日志之間的關系,我們才能解釋“為什么”。因此,請確保你的日志消息絕對清晰。
這是怎么發生的?就像“為什么”一樣,“如何”通常不能在一個陳述中被抓住。因此,消息之間的關聯,尤其是在基于服務的架構中,是極其重要的。為此,你應該為每個具有出站接口的服務中的每個傳入請求創建一個唯一的關聯 ID。獲得此 ID 后,應將其記錄在每個語句中。如果你需要將此 ID 傳輸到另一個服務,你可以使用特定的 HTTP 標頭 X-Correlation-ID 來關聯并保持無狀態。
我們不應該記錄什么?
記錄太多信息與記錄太少一樣有害。你不希望你的日志被在生產中無用的信息淹沒。因此,應始終將生產系統上的日志級別設置為合適的級別,例如 WARN 或 ERROR。
作為開發的一部分,工程師將記錄可能包含個人數據的敏感實體,以便調試應用程序。盡管我們應該致力于防止這種情況發生,但內部調試消息應該具有適當的日志級別——例如,DEBUG 或 TRACE——并且不應該在生產環境中可見。
作為一般規則,應用程序不應泄露任何特定于應用程序或特定于用戶的數據——攻擊者可以使用這些數據。此外,通過暴露個人信息,你很可能不符合隱私法規。即使只有內部人員可以訪問日志,這也是單點故障。因此,我們根本不希望這些信息落入壞人之手。
開發時,請考慮你需要記錄的內容。我們是否需要記錄內部 ID、未加密密碼或某人的信用卡詳細信息?注意不要在 Java 中輸出完整的數據對象,因為輸出取決于該特定對象的 toString() 方法。
通過記錄個人信息以進行調試,我們規避了我們自己的許多安全策略——不完全記錄這些類型的信息是明智的。如果我們需要記錄特定數據,請確保設置正確的日志級別,例如 DEBUG。你還應該將生產系統的日志級別設置為更高的級別,例如 WARN。
日志記錄不是你只需要做的事情。 仔細查看你記錄的內容、記錄時間和使用日志,對于進行快速研究或干預至關重要。盡管預防勝于治療,但總有可能有人破壞了你的系統,而你希望防止進一步的損害。
