網(wǎng)絡(luò)日志是一個平時不怎么被重視的東西，今天寫到關(guān)于網(wǎng)絡(luò)日志的內(nèi)容，是在部署網(wǎng)站的時候，看到訪問日志里記錄的ip地址不對，解決如何獲取客戶端真實ip地址的問題的同時，想到了關(guān)于網(wǎng)絡(luò)日志合規(guī)性的內(nèi)容，一并記錄。

第一個問題：前端使用Nginx反向代理，后端Aapche如何獲取真實ip 在簡易的Nginx反向代理架構(gòu)中，客戶端訪問網(wǎng)址，直接訪問到的是前端代理服務(wù)器，代理服務(wù)器獲取請求后，再將代理轉(zhuǎn)發(fā)給后端的服務(wù)器，如此，代理服務(wù)器拿到了客戶端的ip地址，而后端服務(wù)器拿到的是代理服務(wù)器的ip地址，導(dǎo)致了后端服務(wù)器記錄的日志內(nèi)容不準(zhǔn)確。

當(dāng)查看后端Apache服務(wù)器的訪問日志時，每一行網(wǎng)絡(luò)請求對應(yīng)的ip地址都是相同的，而且正是前端nginx反向代理服務(wù)器的ip地址。

nginx和apache都是可配置的，通過修改nginx和apache的配置，可以實現(xiàn)將客戶端的真實ip地址傳遞至后端apache服務(wù)器。 直接貼出兩個配置文件如下：

#nginx 站點(diǎn)配置文件 
server { 
    listen       80; 
    server_name  luoanman.com www.luoanman.com; 
    rewrite ^(.*)$ https://$host$1  permanent; 
} 
server { 
    listen       443 ssl; 
    server_name  luoanman.com www.luoanman.com; 
    ssl_certificate   /var/www/www-luoanman-com/luoanman/www.luoanman.com.pem; 
    ssl_certificate_key  /var/www/www-luoanman-com/cert/www.luoanman.com.key; 
    ssl_session_timeout 5m; 
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH 
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
    ssl_prefer_server_ciphers on; 
    location / { 
        proxy_set_header Host $http_host; 
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
        proxy_set_header X-Real-Ip $remote_addr; 
        proxy_set_header X-NginX-Proxy true; 
        proxy_set_header X-Forwarded-Proto $scheme; 
        proxy_pass http://localhost:8080; 
        proxy_redirect off; 
    } 
} 

apahce啟用remoteip模塊，修改兩處配置。

#啟用remoteip_module 
LoadModule remoteip_module modules/mod_remoteip.so 

#修改httpd.conf 
<IfModule remoteip_module> 
        RemoteIPHeader X-Forwarded-For 
        RemoteIPInternalProxy 127.0.0.1 
 
</Ifmodule> 

#修改httpd.conf 
LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined 
    LogFormat "%a %l %u %t \"%r\" %>s %b" common 
<IfModule logio_module> 
    # You need to enable mod_logio.c to use %I and %O 
    LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio 
</IfModule> 

修改配置后，重新啟動nginx和apahce，在apahce服務(wù)器的訪問日志里就可以看到客戶端的真實IP地址了。

第二個問題：網(wǎng)絡(luò)日志管理的合規(guī)性

網(wǎng)絡(luò)日志管理的合規(guī)性是個什么問題?初看真是一頭霧水，因為這個問題太抽象了。 再問一個具體點(diǎn)的：網(wǎng)站訪問日志沒有記錄訪問用戶的真實網(wǎng)絡(luò)ip地址會有什么問題? 根據(jù)網(wǎng)上公布的一些公安機(jī)關(guān)處置的案件，有不少因為網(wǎng)站訪問日志管理不規(guī)范而被行政警告處罰和罰款的實例，其中罰款不僅是對單位罰款，而且還要對網(wǎng)絡(luò)安全負(fù)責(zé)人進(jìn)行罰款。而網(wǎng)站訪問日志保存不規(guī)范，日志內(nèi)容保存不準(zhǔn)確或不完整，在檢查的時候都是不合規(guī)的。 在《網(wǎng)絡(luò)安全法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定(公安部令第82號)》等法律法規(guī)里面有關(guān)于日志保存的要求。《網(wǎng)絡(luò)安全法》第三章網(wǎng)絡(luò)運(yùn)行安全第二十一條有如下內(nèi)容：

再看《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定(公安部令第82號)》第七條和第十三條：

在《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》中對等級保護(hù)二級以上的系統(tǒng)有更加詳細(xì)的日志管理要求。隨著系統(tǒng)等級的提高，日志還需要單獨(dú)保存，不能與系統(tǒng)保存在同一臺服務(wù)器上。

而關(guān)于不履行日志管理的法律責(zé)任在《網(wǎng)絡(luò)安全法》里有相應(yīng)的規(guī)定:

在《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法(2011修訂)》中也有相應(yīng)的處罰條款：

總的來說，網(wǎng)站日志管理在當(dāng)前網(wǎng)路安全相關(guān)法律法規(guī)逐漸完善，網(wǎng)絡(luò)安全監(jiān)測日趨嚴(yán)格的環(huán)境下，千萬不能忽視，有條件的，可以建一個專門的網(wǎng)絡(luò)日志管理和分析系統(tǒng)，這樣一方面做到合規(guī)，在合規(guī)性審計上不出問題，另一方面也便于從日志記錄中檢查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。