您知道任何用于审计日志的好的 Java 库吗?或者至少是好书/文章来帮助选择构建应用程序审计日志的好方法?
库要求:
- 定义通用审计元数据(userId、时间、IP、...)
- 定义审计消息类型(发送的事务、接收的消息……)
- 锁定/签署个人审计消息(用于不可否认性)
- 基于元数据搜索审计日志
- 等等。
编辑:
我不是在寻找自动化的解决方案,我很乐意调用类似的东西:
AuditEvent event = new TransactionSentEvent(userId, account, amount, ...)
AuditLog.audit(auditEvent);
关键是要有其背后的基础设施 - 安全存储到数据库、非信誉等。
【问题讨论】:
标签: java jakarta-ee audit
所以,如果你正在寻找一个框架,你可以试试logback-audit。它是由 Java 日志库背后的人编写的,logback。
【讨论】:
如果你使用 Java,一种方法是使用 springframework 和 aop。这是最灵活的选择。 Here is an example
你也可以在数据库级别使用休眠(more info)
【讨论】:
这个https://github.com/dima767/inspektr怎么样? 我的要求与您上面描述的几乎相同,并且正在深入研究 inspektr。
【讨论】:
您可以通过注解在没有 Spring 的情况下使用 AscpectJ 库
【讨论】:
业务/操作级别日志记录的一个好方法是确定您需要记录的确切内容。你已经这样做了。
您实际上不需要添加任何新框架或 AOP。但是,您有一些额外的要求会阻止您在不创建更多工作的情况下使用常见的日志框架,例如 Log4J 或 java.util.logging。
我能想到的最简单的方法是让 Audit 类在其中注入或配置 JDBC 连接。如果您已经在使用该框架,这可以通过 Spring 完成。如果您没有 DI 容器,则需要将其定义为单例。
您需要的另一件事是签名能力。 Java 有一个 java.security.Signature 来签名和验证数据。
正如我之前所说,您的要求会阻止您使用可用的日志记录框架。那就是:
为了便于搜索,您需要将数据存储在数据库中,因为很难将数据写入文本文件。使用日志框架,您必须学习 API 并与不属于标准的框架绑定。
【讨论】: