我有一个 Web 应用程序,我想审核大多数用户在应用程序上的操作,例如登录、插入数据库、更新数据库、触发异常等。
我的一位 senios 建议使用队列以获得更快的性能,因此您只需将事件排入队列,然后自动处理它,而无需等待它被处理。
你有什么建议?我应该如何处理它们?将它们排入队列是没有问题的,但我不确定在没有主体调用方法的情况下如何处理它们。
我正在使用带有 .NET 4.0 的 C#
【问题讨论】:
【讨论】:
Audit.Core.Configuration.Setup().UseXXXX(...) 进行配置
Audit.Core.Configuration.AddCustomAction(ActionType.OnEventSaving, e => { e.Event.GetWebApiAuditAction().ActionParameters["Password"] = "****"; });
我只是推荐一个稳定且受支持的现成日志框架。您是否考虑过日志框架,例如 log4net?
如果你愿意,你可以编写一个自定义的 appender 来登录 MSMQ。
【讨论】:
另一种记录器称为 TracerX。它是用 C# 编写的,快速灵活。因为源代码可用,这意味着您可以根据需要对其进行修改。它带有一个允许过滤输出的查看器。
https://github.com/MarkLTX/TracerX 以及如何使用的文章:
【讨论】:
实际上有两个感兴趣的话题:
异步日志记录可以将繁重的处理速度提高 100 倍。使用写入器线程,每隔 100 毫秒将队列转储到日志接收器,但是必须确定性地启动和停止日志引擎,以便它可以在应用程序停止时刷新接收器。
面向方面的编程解决了您的横切关注点 - 审计/日志调用应在所需的操作序言/尾声中调用 - 查看 PostSharp 项目。
【讨论】:
(回答有点晚了,这篇文章在谷歌上的排名很高,所以我认为可能值得看看一些选项)
如果您希望进行实际审核。 (我的意思是记录某项操作发生了,谁做了,什么时候做的,并且该可审计日志能够用作外部审计员的证据)
(Debug Logging vs Auditing logging)
如果是这样,你可以考虑一些选项,例如:
两者都很酷,因为它们允许您自带数据存储区
这里的设计(可能会影响您的架构以包含事件)是事件是不可变的,如果您存储它们,那么您就有了系统中发生的事情的可审计存储
注意这看起来并不能解决上面的问题,但它确实解决了如何审计,所以我已经提到了它
你必须确认日志库如果添加审核日志失败,会抛出异常。
如果它不这样做,那么您将丢失可审核的日志,那么您将无法与您的审核员建立信任
附注 1 - 使用选项 1 和 3,您可能需要确保将日志写入与主数据存储相同的事务中。确保所有信息都是 ACID。 (这类似于人们发布数据库事务之外的事件时遇到的问题)
旁注 2 - 审核日志应该能够识别谁做了什么,因此您可能/应该需要加密他们最终进入的数据存储。
【讨论】: