使用错误权限创建的 Laravel 每日日志

Question

我有一个使用 php artisan（使用 root 用户）运行的脚本，有时它会导致在 apache www-data 之前创建每日日志文件用户会 - 这意味着当真实用户使用我的 Web 应用程序时，我会收到文件夹权限错误：

无法打开流：权限被拒绝

我每次都将权限改回 www-data，但我想通过始终使用正确权限创建日志文件来解决此问题。

我考虑过创建一个 cron 作业来创建文件或触摸它以确保它每天都具有正确的权限，但我正在寻找一种更好的解决方案，它不依赖于其他脚本。

我们还考虑将 php artisan 包装在另一个脚本中，以确保它始终使用 www-data 凭据运行，但我们想要做的事情实际上是 root 不应允许 apache 执行的程序。

还有什么建议吗？

Answer 1

Laravel 5.6.10 及更高版本支持 single 和 daily 驱动程序的配置 (config/logging.php) 中的 permission 元素：

    'daily' => [
        'driver' => 'daily',
        'path' => storage_path('logs/laravel.log'),
        'level' => 'debug',
        'days' => 7,
        'permission' => 0664,
    ],

无需在引导脚本中处理 Monolog。

具体来说，在https://github.com/laravel/framework/commit/4d31633dca9594c9121afbbaa0190210de28fed8 中添加了支持。

Answer 2

重要此答案与 laravel 5.5+ 不兼容。请看这个答案：Custom (dynamic) log file names with laravel5.6

让我们从不变的开始。

你有一个php artisan 命令，由root 运行。

假设这个命令每天执行一次是安全的。

解决方案 1：

鉴于创建文件的用户默认是有写入权限的用户，我们可以按用户将日志分开：

App/start/global.php

/*
|--------------------------------------------------------------------------
| Application Error Logger
|--------------------------------------------------------------------------
|
| Here we will configure the error logger setup for the application which
| is built on top of the wonderful Monolog library. By default we will
| build a basic log file setup which creates a single file for logs.
|
*/

Log::useDailyFiles(storage_path().'/logs/laravel-'.posix_getpwuid(posix_geteuid())['name'].'.log');

如果您的 www-data 用户要创建错误日志，则会导致：storage/logs/laravel-www-data-2015-4-27.log。

如果您的 root 用户要创建错误日志，则会导致：storage/logs/laravel-root-2015-4-27.log。

解决方案 2：

在 php 脚本中更改 artisan 命令使用的日志。

在您的 run() 函数中，在开头添加这一行：

Log::useFiles(storage_path().'/logs/laravel-'.__CLASS__.'-'.Carbon::now()->format('Y-m-d').'.log');

如果您的班级名称是ArtisanRunner，那么您的日志文件将为：

storage/logs/laravel-ArtisanRunner-2015-4-27.log.

结论：解决方案 1 更好，因为它按用户描述了您的日志，因此不会发生错误。

编辑：正如 jason 所指出的，get_current_user() 返回脚本的所有者名称。因此，要应用解决方案 1，chown 您的工匠类文件到所需的用户名。

Answer 3

cd /path/to/project
chown -R www-data:root .
chmod -R g+s .

Answer 4

如果您使用的是Laravel Envoyer，以下是在 Linux 中使用 ACL 的可能修复：

1。首先，在服务器上以root 权限运行以下脚本：

在这两个脚本中，您需要按照以下说明替换变量：

• {{MASTER_PATH}}：您的虚拟主机目录的路径（例如，包含您的应用程序的文件夹）。
• {{WEB_SERVER_USER}}：您的网络服务器使用的用户。
• {{DEPLOYMENT_USER}}：运行您的部署脚本的用户。

#!/bin/bash

DIRS="storage current/bootstrap/cache"
MASTER_PATH={{MASTER_PATH}}

if [ -d $MASTER_PATH ]; then 
    cd $MASTER_PATH
    for p in `ls $MASTER_PATH`; do 
        if [ -d $MASTER_PATH/$p ]; then     
        cd $MASTER_PATH/$p
            echo "Project: $p -> $MASTER_PATH/$p"
            for i in $DIRS; do 
                echo "- directory: $i" 
                if [ -d $i ]; then 
                    echo "-- checking ACL..."
                    HAS_ACL=`getfacl -p $i | grep "^user:{{WEB_SERVER_USER}}:.*w" | wc -l`
                    if [  $HAS_ACL -eq 0 ]; then 
                        echo "--- applying $i"
                        setfacl -L -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
                        setfacl -dL -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
                    else
                        echo "--- skipping $i"
                    fi
                fi
            done
        echo "--------------"
        fi
    done
else
    echo "No $MASTER_PATH - skipping overall"
fi

2。在“Activate New Release”>“Before This Action

下在 envoyer 上设置以下部署挂钩

PROJECT_DIRS="storage"
RELEASE_DIRS="bootstrap/cache"
 
cd {{ project }}
 
for i in $PROJECT_DIRS; do
  if [ -d $i ]; then
    HAS_ACL=`getfacl -p $i | grep "^user:{{WEB_SERVER_USER}}:.*w" | wc -l`
    if [  $HAS_ACL -eq 0 ]; then
      echo "ACL set for directory {{project}}/$i"
      setfacl -L -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
      setfacl -dL -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
    fi
  fi
done
 
cd {{ release }}
 
for i in $RELEASE_DIRS; do
  if [ -d $i ]; then
    HAS_ACL=`getfacl -p $i | grep "^user:{{WEB_SERVER_USER}}:.*w" | wc -l`
    if [  $HAS_ACL -eq 0 ]; then
      echo "ACL set for directory {{project}}/$i"
      setfacl -L -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
      setfacl -dL -R -m u:{{WEB_SERVER_USER}}:rwX -m u:{{DEPLOYMENT_USER}}:rwX $i
    fi
  fi
done

3。重新部署您的应用程序

现在重新部署您的应用程序，它应该可以继续工作。

注意：1.中定义的脚本应该在每次向机器添加新项目时运行。

Answer 5

这个解决方案肯定适用于 Laravel V5.1 - V6.x

出现此错误的原因：

• 主要是权限问题造成的
• 在您的根目录中找不到环境变量或.env 文件
• PHP 扩展问题
• 数据库问题

修复：

• 设置正确的权限：
  • 运行这些命令 (Ubuntu/Debian)

find /path/to/your/root/dir/ -type f -exec chmod 644 {} \;
find /path/to/your/root/dir/ -type d -exec chmod 755 {} \;

chown -R www-data:www-data /path/to/your/root/dir/

chgrp -R www-data storage bootstrap/cache
chmod -R ug+rwx storage bootstrap/cache

• 如果 .env 文件不存在，请通过touch .env 创建一个并粘贴您的环境变量，然后运行

   php artisan key:generate
   php artisan cache:clear
   php artisan config:clear
   composer dump-autoload
   php artisan migrate //only if not already migrated

Answer 6

对我来说，这个问题不仅仅是日志权限......我遇到了与引导/缓存和存储文件夹相关的任何问题，其中一个用户将创建一个文件/文件夹，而另一个用户将无法编辑/删除到标准的 644 和 755 权限。

典型的场景是：

• bootstrap/cache/compiled.php 文件由 apache 用户创建，但 composer 用户在执行 composer install 命令时无法编辑

• apache 用户创建的缓存无法使用 composer 用户清除

• 上述可怕的日志竞争条件。

梦想是无论哪个用户创建文件/文件夹，其他需要访问的用户都拥有与原作者完全相同的权限。

TL;DR?

这是如何完成的。

我们需要创建一个名为 laravel 的共享用户组，该组由所有需要访问 storage 和 bootstrap/cache 目录的用户组成。 接下来我们需要确保新创建的文件和文件夹分别具有 laravel 组和 664 和 775 权限。

对现有文件/目录执行此操作很容易，但需要一点技巧来调整默认文件/文件夹创建规则...

## create user group
sudo groupadd laravel

## add composer user to group
sudo gpasswd -a composer-user laravel

## add web server to group
sudo gpasswd -a apache laravel

## jump to laravel path
sudo cd /path/to/your/beautiful/laravel-application

## optional: temporary disable any daemons that may read/write files/folders
## For example Apache & Queues

## optional: if you've been playing around with permissions
## consider resetting all files and directories to the default
sudo find ./ -type d -exec chmod 755 {} \;
sudo find ./ -type f -exec chmod 644 {} \;

## give users part of the laravel group the standard RW and RWX
## permissions for the existing files and folders respectively
sudo chown -R :laravel ./storage
sudo chown -R :laravel ./bootstrap/cache
sudo find ./storage -type d -exec chmod 775 {} \;
sudo find ./bootstrap/cache -type d -exec chmod 775 {} \;
sudo find ./storage -type f -exec chmod 664 {} \;
sudo find ./bootstrap/cache -type f -exec chmod 664 {} \;


## give the newly created files/directories the group of the parent directory 
## e.g. the laravel group
sudo find ./bootstrap/cache -type d -exec chmod g+s {} \;
sudo find ./storage -type d -exec chmod g+s {} \;

## let newly created files/directories inherit the default owner 
## permissions up to maximum permission of rwx e.g. new files get 664, 
## folders get 775
sudo setfacl -R -d -m g::rwx ./storage
sudo setfacl -R -d -m g::rwx ./bootstrap/cache

## Reboot so group file permissions refresh (required on Debian and Centos)
sudo shutdown now -r

## optional: enable any daemons we disabled like Apache & Queues

纯粹出于调试目的，我发现将日志拆分为 cli/web + 用户是有益的，因此我稍微修改了 Sam Wilson 的答案。我的用例是队列在它自己的用户下运行，因此它有助于区分使用 cli（例如单元测试）的作曲家用户和队列守护进程。

$app->configureMonologUsing(function(MonologLogger $monolog) {
     $processUser = posix_getpwuid(posix_geteuid());
     $processName= $processUser['name'];

     $filename = storage_path('logs/laravel-'.php_sapi_name().'-'.$processName.'.log');
     $handler = new MonologHandlerRotatingFileHandler($filename);
     $monolog->pushHandler($handler);
}); 

Answer 7

Laravel 5.1

在我们的例子中，我们希望创建所有日志文件，以便 deploy 组中的所有内容都具有读/写权限。因此，我们需要创建具有0664 权限的所有新文件，而不是默认的0644。

我们还添加了一个格式化程序来添加换行符以提高可读性：

$app->configureMonologUsing(function(Monolog\Logger $monolog) {
    $filename = storage_path('/logs/laravel.log');
    $handler = new Monolog\Handler\RotatingFileHandler($filename, 0, \Monolog\Logger::DEBUG, true, 0664);
    $handler->setFormatter(new \Monolog\Formatter\LineFormatter(null, null, true, true));
    $monolog->pushHandler($handler);
});

也可以将它与接受的答案结合起来

$app->configureMonologUsing(function(Monolog\Logger $monolog) {
    $filename = storage_path('/logs/laravel-' . php_sapi_name() . '.log');
    $handler = new Monolog\Handler\RotatingFileHandler($filename, 0, \Monolog\Logger::DEBUG, true, 0664);
    $handler->setFormatter(new \Monolog\Formatter\LineFormatter(null, null, true, true));
    $monolog->pushHandler($handler);
});

Answer 8

您可以简单地在您的 artisan 命令中更改日志文件的权限：

$path = storage_path('log/daily.log');
chown($path, get_current_user());

get_current_user() 将返回当前脚本的用户。

换句话说，daily.log 将始终拥有 www-data 作为其所有者，即使您将脚本初始化为 root 用户。

Answer 9

Laravel 5.8

Laravel 5.8 允许您在 config/logging.php 中设置日志名称。

因此，使用以前的答案和 cmets，如果您想使用实际的 posix 用户名和 php_sapi_name() 值来命名您的日志，您只需要更改日志名称集。使用每日驱动程序允许按用户/api 组合运行日志轮换，这将确保日志始终由可以修改日志的帐户轮换。

我还添加了对本地环境中可能不存在的 posix 函数的检查，在这种情况下，日志名称只是默认为标准。

假设您使用默认的日志频道“每日”，您可以像这样修改您的“频道”键：

# config/logging.php
'channels' => [
    ...
    'daily' => [
        'driver' => 'daily',
        'path'   => storage_path(
            function_exists('posix_getpwuid') 
            && function_exists('posix_geteuid')
                ? 'logs/laravel'
                    . '-' . php_sapi_name()
                    . '-' . posix_getpwuid(posix_geteuid())['name'] 
                    . '.log'
                : 'logs/laravel.log'),
        'level'  => 'debug',
        'days'   => 15,
    ],
    ...

这将产生一个日志名称，该名称对于每个组合都应该是唯一的，例如 laravel-cli-sfscs-2019-05-15.log 或 laravel-apache2handler-apache-2019-05-15.log，具体取决于您的接入点。

Answer 10

我的工作方式非常简单：

我在 Laravel 5.6

上遇到了同样的问题

在config/logging.php 中，我刚刚更新了每日频道的路径值，其中包含php_sapi_name()。

这会为不同的 php_sapi_name 创建单独的持续时间，并将带有时间戳的日志文件放入它们的特定目录中。

'daily' => [
            'driver' => 'daily',
            'path' => storage_path('logs/' . php_sapi_name() . '/laravel.log'),
            'level' => 'debug',
            'days' => 7,
        ]

对我来说，

• 在fpm-fcgi 目录下创建日志文件：来自网站的日志，owner: www-data
• 日志文件在cli 目录下创建：来自工匠命令（cronjob）。 owner: root

更多关于 Laravel 5.6 日志的信息：https://laravel.com/docs/5.6/logging

这是我的config/logging.php 文件：

<?php

return [
    /*
    |--------------------------------------------------------------------------
    | Default Log Channel
    |--------------------------------------------------------------------------
    |
    | This option defines the default log channel that gets used when writing
    | messages to the logs. The name specified in this option should match
    | one of the channels defined in the "channels" configuration array.
    |
    */
    'default' => env('LOG_CHANNEL', 'stack'),
    /*
    |--------------------------------------------------------------------------
    | Log Channels
    |--------------------------------------------------------------------------
    |
    | Here you may configure the log channels for your application. Out of
    | the box, Laravel uses the Monolog PHP logging library. This gives
    | you a variety of powerful log handlers / formatters to utilize.
    |
    | Available Drivers: "single", "daily", "slack", "syslog",
    |                    "errorlog", "custom", "stack"
    |
    */
    'channels' => [
        'stack' => [
            'driver' => 'stack',
            'channels' => ['daily'],
        ],
        'single' => [
            'driver' => 'single',
            'path' => storage_path('logs/laravel.log'),
            'level' => 'debug',
        ],
        'daily' => [
            'driver' => 'daily',
            'path' => storage_path('logs/' . php_sapi_name() . '/laravel.log'),
            'level' => 'debug',
            'days' => 7,
        ],
        'slack' => [
            'driver' => 'slack',
            'url' => env('LOG_SLACK_WEBHOOK_URL'),
            'username' => 'Laravel Log',
            'level' => 'critical',
        ],
        'syslog' => [
            'driver' => 'syslog',
            'level' => 'debug',
        ],
        'errorlog' => [
            'driver' => 'errorlog',
            'level' => 'debug',
        ],
    ],
];

Answer 11

（Laravel 5.6）我最近遇到了同样的问题，我只是设置了一个预定命令在/app/Console/Kernel.php 中运行。

$schedule->exec('chown -R www-data:www-data /var/www/**********/storage/logs')->everyMinute();

我知道这有点矫枉过正，但它就像一个魅力，从那以后没有任何问题。

Answer 12

实现这项工作的一种非 Laravel 方法是将您的 cronjob 简单地执行为 www-data。

例如https://askubuntu.com/questions/189189/how-to-run-crontab-as-userwww-data

/etc/crontab

*/5 * * * * www-data php /var/www/public/voto_m/artisan top >/dev/null 2>&1

Answer 13

Laravel 5.5

将此代码添加到bootstrap/app.php：

$app->configureMonologUsing(function (Monolog\Logger $monolog) {
    $filename = storage_path('logs/' . php_sapi_name() . '-' . posix_getpwuid(posix_geteuid())['name'] . '.log');
    $monolog->pushHandler($handler = new Monolog\Handler\RotatingFileHandler($filename, 30));
    $handler->setFilenameFormat('laravel-{date}-{filename}', 'Y-m-d');
    $formatter = new \Monolog\Formatter\LineFormatter(null, null, true, true);
    $formatter->includeStacktraces();
    $handler->setFormatter($formatter);
});

• 它将像这样存储文件：laravel-2018-01-27-cli-raph.log 和 laravel-2018-01-27-fpm-cgi-raph.log，这样更易​​读。
• 保留新行（作为默认 Laravel 行为）
• 它适用于Laravel Log Viewer

Laravel 5.6

您 have to create a class 为您的记录器：

<?php

namespace App;

use Monolog\Logger as MonologLogger;

class Logger {
    public function __invoke(array $config)
    {
        $monolog = new MonologLogger('my-logger');
        $filename = storage_path('logs/' . php_sapi_name() . '-' . posix_getpwuid(posix_geteuid())['name'] . '.log');
        $monolog->pushHandler($handler = new \Monolog\Handler\RotatingFileHandler($filename, 30));
        $handler->setFilenameFormat('laravel-{date}-{filename}', 'Y-m-d');
        $formatter = new \Monolog\Formatter\LineFormatter(null, null, true, true);
        $formatter->includeStacktraces();
        $handler->setFormatter($formatter);
        return $monolog;
    }
}

然后，你必须在config/logging.php注册它：

'channels' => [
    'custom' => [
        'driver' => 'custom',
        'via' => App\Logging\CreateCustomLogger::class,
    ],
],

与 5.5 相同的行为：

• 它将像这样存储文件：laravel-2018-01-27-cli-raph.log 和 laravel-2018-01-27-fpm-cgi-raph.log，这样更具可读性。
• 保留新行（作为默认 Laravel 行为）
• 它适用于Laravel Log Viewer

Answer 14

Laravel 5.4

\Log::getMonolog()->popHandler(); \Log::useDailyFiles(storage_path('/logs/laravel-').get_current_user().'.log');

在AppServiceProvider中添加boot函数

Answer 15

我发现最好的方法是fideloper建议，http://fideloper.com/laravel-log-file-name，你可以设置laravel日志配置，不用touch Log类。 我认为控制台程序和 Http 程序使用不同的名称是最好的解决方案。

Answer 16

对于 Laravel 5.1，我在 bootstrap/app.php 的底部使用以下内容（如 the docs 中所述）：

/**
 * Configure Monolog.
 */
$app->configureMonologUsing(function(Monolog\Logger $monolog) {
    $filename = storage_path('logs/laravel-'.php_sapi_name().'.log');
    $handler = new Monolog\Handler\RotatingFileHandler($filename);
    $monolog->pushHandler($handler);
});

当然，您可以使用许多其他处理程序来代替。

Answer 17

为此，您应该对文件和目录使用高级 ACL。 setfacl 将是您的答案。如果您想授予 www-data 用户权限以写入特定目录中的 root 的 文件，您可以这样做：

setfacl -d -m default:www-data:you-chosen-group:rwx /my/folder

发出此命令后，您将为 www-data 用户设置 rwx 对 /my/folder/ 中所有文件的权限，无论这些文件是谁创建的。请参阅this 和this question 以供参考。另外，您可以查看docs for setfacl。

如果这有帮助，请告诉我。

Answer 18

在 app/start/artisan.php 文件的开头添加如下内容（这是 Laravel 4）：

// If effectively root, touch the log file and make sure it belongs to www-data
if (posix_geteuid() === 0) {
    $file = storage_path() . '/logs/laravel.log';
    touch($file);
    chown($file, 'www-data');
    chgrp($file, 'www-data');
    chmod($file, 0664);
}

如果您提到的每日日志文件不是标准的 Laravel 日志文件，请调整路径。您也可能不想像我在这里所做的那样更改组或设置权限。以上将组设置为www-data，并设置组写入权限。然后，我将我的普通用户添加到 www-data 组，以便以我的普通用户身份运行 artisan 命令仍然可以写入日志。

一个相关的调整是将以下内容放在您的 app/start/global.php 文件的开头：

umask(0002);

如果你这样做，上面的chmod 行将变得毫无意义。将 umask 设置为这个后，PHP（以及 Laravel）创建的任何新文件的权限都将被屏蔽，以便“其他”用户没有写入权限。这意味着目录将以rwxrwxr-x 开头，文件以rw-rw-r-- 开头。因此，如果www-data 正在运行 PHP，则默认情况下，它生成的任何缓存和日志文件都可以被该用户主组中的任何人写入，即www-data。