2. 程式人生 > >hdfs auditlog(審計日誌)

hdfs auditlog(審計日誌)

阿新 發佈:2018-11-25

        hdfs審計日誌(Auditlog)記錄了使用者針對hdfs的所有操作,詳細資訊包括操作成功與否、使用者名稱稱、客戶機地址、操作命令、操作的目錄等。對於使用者的每一個操作,namenode都會將這些資訊以key-value對的形式組織成固定格式的一條日誌,然後記錄到audit.log檔案中。通過審計日誌,我們可以實時檢視hdfs的各種操作狀況、可以追蹤各種誤操作、可以做一些指標監控等等。

        hdfs的審計日誌功能是可插拔的,使用者可以通過實現預設介面擴展出滿足自己所需的外掛來替換hdfs預設提供的審計日誌功能,或者與之並用。

啟用審計日誌  

        如果僅僅只啟用預設的AuditLogger(DefaultAuditLogger),則在log4j.properties新增如下配置(hdfs.audit.logger必須配置為INFO級別)即可,審計日誌會與namenode的系統日誌獨立開來儲存,log4j.appender.RFAAUDIT.File可配置儲存的位置及檔案。 FSNamesystem根據log4j.properties中hdfs.audit.logger是否為INFO,以及是否配置了DefaultAuditLogger之外的其他AuditLogger,來決定是否啟用審計日誌功能。

#
# hdfs audit logging
#
hdfs.audit.logger=INFO,NullAppender
hdfs.audit.log.maxfilesize=256MB
hdfs.audit.log.maxbackupindex=20
log4j.logger.org.apache.hadoop.hdfs.server.namenode.FSNamesystem.audit=${hdfs.audit.logger}
log4j.additivity.org.apache.hadoop.hdfs.server.namenode.FSNamesystem.audit=false
log4j.appender.RFAAUDIT=org.apache.log4j.RollingFileAppender
log4j.appender.RFAAUDIT.File=${hadoop.log.dir}/hdfs-audit.log
log4j.appender.RFAAUDIT.layout=org.apache.log4j.PatternLayout
log4j.appender.RFAAUDIT.layout.ConversionPattern=%d{ISO8601} %p %c{2}: %m%n
log4j.appender.RFAAUDIT.MaxFileSize=${hdfs.audit.log.maxfilesize}
log4j.appender.RFAAUDIT.MaxBackupIndex=${hdfs.audit.log.maxbackupindex}

審計日誌的介面及實現

        Namenode開放了AuditLogger介面,並定義抽象類HdfsAuditLogger 實現AuditLogger,預設提供實現類DefaultAuditLogger。構造FSNamesystem時通過initAuditLoggers(Configuration conf)方法建立AuditLogger列表。在記錄使用者操作時,會將操作資訊逐一傳給列表中的每一個AuditLogger,由其做對應的審計處理。

 

 

        hdfs定義的審計日誌介面及提供的實現

 

 

 

 

 

 

 

 

       通過實現Auditloger介面或者擴充套件HdfsAuditLogger類,使用者可以實現自己的AuditLogger來滿足所需,例如有針對性的記錄審計日誌(當叢集、訪問量上規模之後瘋狂刷日誌必然對namenode有影響,有針對性的記錄有必要的日誌是緩解此狀況的一種可選方案)、擴充套件功能、將日誌接入實時系統做實時分析或監控等。使用者通過配置項dfs.namenode.audit.loggers在hdfs-site.xml中配置Auditloger的實現類,多個實現可以通過逗號分開,更改配置後重啟namenode介面生效。FSNamesystem的initAuditLoggers(Configuration conf)方法通過該配置項載入並例項化實現類,初始化後存入集合。如果使用者沒有配置,那麼預設使用DefaultAuditLogger。如果啟動了nntop功能,還會使用TopAuditLogger。

      FSNamesystem 初始化所有的AuditLogger:

private List<AuditLogger> initAuditLoggers(Configuration conf) {
    // Initialize the custom access loggers if configured.
    //DFS_NAMENODE_AUDIT_LOGGERS_KEY=dfs.namenode.audit.loggers
    Collection<String> alClasses = conf.getStringCollection(DFS_NAMENODE_AUDIT_LOGGERS_KEY);
    List<AuditLogger> auditLoggers = Lists.newArrayList();
    if (alClasses != null && !alClasses.isEmpty()) {
      for (String className : alClasses) {
        try {
          AuditLogger logger;
          if (DFS_NAMENODE_DEFAULT_AUDIT_LOGGER_NAME.equals(className)) {
            logger = new DefaultAuditLogger();
          } else {
            logger = (AuditLogger) Class.forName(className).newInstance();
          }
          logger.initialize(conf);
          auditLoggers.add(logger);
        } catch (RuntimeException re) {
          throw re;
        } catch (Exception e) {
          throw new RuntimeException(e);
        }
      }
    }

    // Make sure there is at least one logger installed.
    // 如果使用者沒有提供AuditLoggers,則預設使用DefaultAuditLogger
    if (auditLoggers.isEmpty()) {
      auditLoggers.add(new DefaultAuditLogger());
    }

    // Add audit logger to calculate top users
    // 預設topConf.isEnabled是開啟的,用於指標聚合、上報
    // TopAuditLogger類似 top命令
    if (topConf.isEnabled) {
      topMetrics = new TopMetrics(conf, topConf.nntopReportingPeriodsMs);
      auditLoggers.add(new TopAuditLogger(topMetrics));
    }

    return Collections.unmodifiableList(auditLoggers);
  }

DefaultAuditLogger記錄日誌:

@Override
    public void logAuditEvent(boolean succeeded, String userName,
        InetAddress addr, String cmd, String src, String dst,
        FileStatus status, UserGroupInformation ugi,
        DelegationTokenSecretManager dtSecretManager) {
      if (auditLog.isInfoEnabled()) {
        final StringBuilder sb = auditBuffer.get();
        sb.setLength(0);
        sb.append("allowed=").append(succeeded).append("\t");
        sb.append("ugi=").append(userName).append("\t");
        sb.append("ip=").append(addr).append("\t");
        sb.append("cmd=").append(cmd).append("\t");
        sb.append("src=").append(src).append("\t");
        sb.append("dst=").append(dst).append("\t");
        if (null == status) {
          sb.append("perm=null");
        } else {
          sb.append("perm=");
          sb.append(status.getOwner()).append(":");
          sb.append(status.getGroup()).append(":");
          sb.append(status.getPermission());
        }
        if (logTokenTrackingId) {
          sb.append("\t").append("trackingId=");
          String trackingId = null;
          if (ugi != null && dtSecretManager != null
              && ugi.getAuthenticationMethod() == AuthenticationMethod.TOKEN) {
            for (TokenIdentifier tid: ugi.getTokenIdentifiers()) {
              if (tid instanceof DelegationTokenIdentifier) {
                DelegationTokenIdentifier dtid =
                    (DelegationTokenIdentifier)tid;
                trackingId = dtSecretManager.getTokenTrackingId(dtid);
                break;
              }
            }
          }
          sb.append(trackingId);
        }
        sb.append("\t").append("proto=");
        sb.append(NamenodeWebHdfsMethods.isWebHdfsInvocation() ? "webhdfs" : "rpc");
        logAuditMessage(sb.toString());
      }
    }

    public void logAuditMessage(String message) {
      auditLog.info(message);
    }

 

審計過程

    客戶端對hdfs的所有操作,不管成功與否都會由FSNamesystem記錄下。以刪除操作為例,FSNamesystem在正常刪除給定src後呼叫logAuditEvent(true, "delete", src)記錄此次成功的delete操作,如果刪除失敗丟擲異常,則呼叫logAuditEvent(false, "delete", src)記錄此次失敗的delete操作。

   boolean delete(String src, boolean recursive, boolean logRetryCache)
      throws IOException {
    waitForLoadingFSImage();
    BlocksMapUpdateInfo toRemovedBlocks = null;
    writeLock();
    boolean ret = false;
    try {
      checkOperation(OperationCategory.WRITE);
      checkNameNodeSafeMode("Cannot delete " + src);
      toRemovedBlocks = FSDirDeleteOp.delete(
          this, src, recursive, logRetryCache);
      ret = toRemovedBlocks != null;
    } catch (AccessControlException e) {
      logAuditEvent(false, "delete", src);
      throw e;
    } finally {
      writeUnlock();
    }
    getEditLog().logSync();
    if (toRemovedBlocks != null) {
      removeBlocks(toRemovedBlocks); // Incremental deletion of blocks
    }
    logAuditEvent(true, "delete", src);
    return ret;
  }
  


//判斷是否是外部呼叫,只對rpc呼叫和webHdfs呼叫做審計
  boolean isExternalInvocation() {
    return Server.isRpcInvocation() || NamenodeWebHdfsMethods.isWebHdfsInvocation();
  }  

  //判斷是否啟用審計日誌功能
  public boolean isAuditEnabled() {
    return !isDefaultAuditLogger || auditLog.isInfoEnabled();
  }
  
  //succeeded:操作是否成功     cmd:操作命令     src:操作物件
  private void logAuditEvent(boolean succeeded, String cmd, String src)
      throws IOException {
    logAuditEvent(succeeded, cmd, src, null, null);
  }
  
  private void logAuditEvent(boolean succeeded, String cmd, String src,
      String dst, HdfsFileStatus stat) throws IOException {
    if (isAuditEnabled() && isExternalInvocation()) {
      logAuditEvent(succeeded, getRemoteUser(), getRemoteIp(),
                    cmd, src, dst, stat);
    }
  }
  
  //獲取操作物件的資訊,呼叫所有的auditloger 做審計
  private void logAuditEvent(boolean succeeded,
      UserGroupInformation ugi, InetAddress addr, String cmd, String src,
      String dst, HdfsFileStatus stat) {
    FileStatus status = null;
    if (stat != null) {
      Path symlink = stat.isSymlink() ? new Path(stat.getSymlink()) : null;
      Path path = dst != null ? new Path(dst) : new Path(src);
      status = new FileStatus(stat.getLen(), stat.isDir(),
          stat.getReplication(), stat.getBlockSize(), stat.getModificationTime(),
          stat.getAccessTime(), stat.getPermission(), stat.getOwner(),
          stat.getGroup(), symlink, path);
    }
    for (AuditLogger logger : auditLoggers) {
      if (logger instanceof HdfsAuditLogger) {
        HdfsAuditLogger hdfsLogger = (HdfsAuditLogger) logger;
        hdfsLogger.logAuditEvent(succeeded, ugi.toString(), addr, cmd, src, dst,
            status, ugi, dtSecretManager);
      } else {
        logger.logAuditEvent(succeeded, ugi.toString(), addr,
            cmd, src, dst, status);
      }
    }
  }

審計日誌接入實時系統的方法

  • 方法1:擴充套件Log4J的appender,由appender將日誌傳送到kafka。
  • 方法2:直接讓kafka的producer讀取日誌檔案。

相關推薦

hdfs auditlog(審計日誌)

        hdfs審計日誌(Auditlog)記錄了使用者針對hdfs的所有操作,詳細資訊包括操作成功與否、使用者名稱稱、客戶機地址、操作命令、操作的目錄等。對於使用者的每一個操作,namenode都會將這些資訊以

ABP官方文檔翻譯 4.6 審計日誌

anti onf virt 註入 for 目錄 術語 保存 獲得 審計日誌 介紹 關於IAuditingStore 配置 通過特性啟用/禁用 註意事項 介紹   維基百科:“審計追蹤(也稱為審計日誌)是與安全相關的按時間先後的記

使用logrotate輪替MySQL的mysql-audit審計日誌

mysql logrotate audit 最近一段時間發現在一臺服務器上的MySQL的audit(http://jim123.blog.51cto.com/4763600/1955487)插件日誌沒有數據,剛開始以為是配置出問題就進數據庫檢查了一下發現沒有問題,後來發現在MySQL的aud

Mariadb 審計日誌部署

mariadb 審計日誌 server_audit mariadb 的審計日誌和mysql審計日誌都是使用插件形式使用。目前mysql企業版支持審計日誌功能,percona公司的插件可替代該插件(網絡了解mysql社區版可使用percona的審計插件,本人尚未實驗測試。)本次實驗基於mariadb

binlog+審計日誌 定位mariadb(mysql)數據庫特定sql

mysql DML定位 最近線上數據莫名的丟數據,故進行sql定位,定位線上數據為何丟失,最後定位到具體某開發程序。 審計日誌:記錄數據庫所有信息,故會有巨大的日誌,而且參數設置審計日誌大小,會進行審計日誌輪換分割。 1.基於審計日誌這個特點,業務提出問題後,要及時發現問題解決問題。 線上業務日

審計日誌在分散式系統中的應用

前言分散式系統的執行環境往往是異常複雜的,很多情況涉及到多節點間的訊息通訊。相比較於單節點系統而言,分散式系統在問題追蹤,排查方面顯然也複雜很多。那麼這個時候,在分散式系統中,增加哪些型別的日誌資料,來幫助我們發現和定位問題呢?答案就是我們今天將要闡述的審計日誌(Audit log)。 審計日誌的概念很多人

審計日誌在分布式系統中的應用

events 實例 lse 時間 時間段 exc ipa for 示例代碼 前言分布式系統的執行環境往往是異常復雜的,很多情況涉及到多節點間的消息通信。相比較於單節點系統而言,分布式系統在問題追蹤,排查方面顯然也復雜很多。那麽這個時候,在分布式系統中,增加哪些類型的日誌數據

MySQL審計日誌

資料庫審計能夠實時記錄網路上的資料庫活動,對資料庫操作進行細粒度審計的合規性管理,對資料庫遭受到的風險行為進行警告,對攻擊行為進行阻斷。它通過對使用者訪問資料庫行為的記錄、分析和彙報,用來幫助使用者時候生成合規報告、事故追根溯源,同時加強內外部資料庫網路行為記錄,提高資料資產

Kubernetes 的審計日誌和採集_Kubernetes中文社群

基礎操作 一個正常執行的 Kubernetes 叢集,除了利用訪問控制對叢集操作的許可進行限制之外,對於操作過程的跟蹤審計也是比不可少的,圍繞不同的實體,例如使用者、節點以及各種工作負載進行觀測是很有必要的。Kubernetes 的 API Server 提供了審計日誌支援,利用審計日誌的方式

Hadoop審計日誌配置[轉自 AIMP平臺wiki]

Hadoop審計日誌配置 hdfs審計 log4j.properties 中配置(預設就包含)hdfs.audit.logger=INFO,NullAppender hdfs.audit.log.maxfilesize=256MB hdfs.audit.log.maxbackupindex=20 log4

Abp + MongoDb 改造預設的審計日誌儲存位置

一、背景 在實際專案的開發當中,使用 Abp Zero 自帶的審計日誌功能寫入效率比較低。其次審計日誌資料量中後期十分龐大,不適合與業務資料存放在一起。所以我們可以重新實現 Abp 的 IAuditingStore 介面,來讓我們的審計日誌資料儲存在 MongoDb 當中。 二、實現 2.0 引入相關包

ABP(現代ASP.NET樣板開發框架)系列之19、ABP應用層——審計日誌

基於DDD的現代ASP.NET開發框架--ABP系列之19、ABP應用層——審計日誌 ABP是“ASP.NET Boilerplate Project (ASP.NET樣板專案)”的簡稱。 維基百科定義:審計跟蹤(也稱為稽核日誌)是一個安全相關的時間順序記錄,記錄這些記錄的

ExceptionLess新玩法 -- 審計日誌

審計日誌 這算是一個挺酷的功能,把每個請求都記錄下來,之前在abp中看到過這個功能,配合視覺化的介面,簡直是在裝逼 看到了exceptionless後,心念一動,我也可以根據它做一個審計日誌的功能。這裡需要一些MVC過濾器的知識,不同的同學請谷歌查一下資料。 Next 使用過濾器, 在acti

利用auditbeat采集系統審計日誌並生成圖像

1.5 .com 平臺 ofo 方式 完整性 必須 生成 cto 一、背景 Auditbeat是輕量型的審計日誌采集器,可以收集linux審計框架的數據、監控文件完整性。能夠組合相關消息到一個事件裏,生成標標準的結構化數據,方便分析,而且能夠與Logstash、Elasti

flume監控spoolDir日誌HDFS(從日誌產生到hdfs上一整套)

原部落格地址:http://www.2cto.com/kf/201612/555835.html 1.編寫java程式碼,隨機生成使用者ID號碼,區縣號碼,鄉鎮號碼(區縣和鄉鎮號碼用隨機的三位字母表示)和個人總收入格式樣例:779362a1-bf04-468a-

審計日誌太多導致Oracle系統表空間佔滿的處理

1.檢視所有表空間資訊(包括總大小、已使用、空閒、使用百分比): select a.tablespace_name,total "Total(M)",free "Free(M)",total-free "Used(M)",round(((total-free)/total)*

nginx+flume+hdfs搭建實時日誌收集系統

1、配置nginx.conf,新增以下配置 http { #配置日誌格式 log_format lf '$remote_addr^A$msec^A$http_host^A$reques

Hadoop2初始安裝時,執行hdfs zkfc -formatZK日誌

[[email protected] Crate]$ hdfs zkfc -formatZK 16/11/07 12:05:21 INFO tools.DFSZKFailoverController: Failover controller configured

ABP開發框架前後端開發系列---(7)系統審計日誌和登入日誌的管理

我們瞭解ABP框架內部自動記錄審計日誌和登入日誌的,但是這些資訊只是在相關的內部接口裡面進行記錄,並沒有一個管理介面供我們瞭解,但是其系統資料庫記錄了這些資料資訊,我們可以為它們設計一個檢視和匯出這些審計日誌和登入日誌的管理介面。本篇隨筆繼續ABP框架的系列介紹,一步步深入瞭解ABP框架的應用開發,介紹審計日

審計日誌外掛-hanboAudit

hanboAudit是一個日誌埋點外掛,基於攔截器實現,目前相容mybatis和hibernate等持久層框架。 外