Higress网关日志中如何添加消费者认证信息

在微服务架构中，API网关作为流量入口，其日志记录功能对于系统监控和分析至关重要。本文将详细介绍如何在Higress网关的访问日志中添加消费者认证信息，以便更好地监控和分析API使用情况。

背景与需求

Higress作为阿里巴巴开源的云原生网关，提供了强大的流量管理和日志记录功能。在实际生产环境中，我们经常需要跟踪特定消费者的API调用情况，包括但不限于：

• 各消费者的调用频率
• 认证失败情况
• 不同消费者的流量分布

解决方案

Higress通过灵活的日志格式配置，可以轻松实现消费者信息的记录。具体实现方式如下：

修改日志格式配置

1. 找到Higress的ConfigMap配置higress-config
2. 在accessLogFormat字段中添加消费者信息记录项
3. 添加的具体内容为："consumer":"%REQ(X-MSE-CONSUMER)%"

配置示例

修改后的日志格式配置示例如下：

{
  "accessLogFormat": {
    "format": "{\"time\":\"%START_TIME%\",\"consumer\":\"%REQ(X-MSE-CONSUMER)%\",\"method\":\"%REQ(:METHOD)%\",\"path\":\"%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%\",\"protocol\":\"%PROTOCOL%\",\"response_code\":\"%RESPONSE_CODE%\",\"bytes_received\":\"%BYTES_RECEIVED%\",\"bytes_sent\":\"%BYTES_SENT%\",\"duration\":\"%DURATION%\",\"upstream_service_time\":\"%RESP(X-ENVOY-UPSTREAM-SERVICE-TIME)%\",\"x_forwarded_for\":\"%REQ(X-FORWARDED-FOR)%\",\"user_agent\":\"%REQ(USER-AGENT)%\",\"request_id\":\"%REQ(X-REQUEST-ID)%\"}"
  }
}

实现原理

Higress基于Envoy构建，其日志格式采用了Envoy的变量替换机制。%REQ(X-MSE-CONSUMER)%是一个特殊的变量，它会从请求头中提取X-MSE-CONSUMER字段的值，这个字段通常用于标识经过认证的消费者身份。

监控与分析

添加消费者信息到日志后，可以通过以下方式进行监控分析：

1. 日志分析系统：使用ELK、Splunk等工具对日志进行聚合分析
2. 实时监控：通过流处理框架实时统计各消费者的调用频率
3. 异常检测：设置告警规则，监控异常调用模式

注意事项

1. 确保消费者认证中间件已正确配置并运行
2. 日志中添加敏感信息需要考虑隐私合规要求
3. 大量日志记录可能影响网关性能，需合理配置日志采样率

总结

通过在Higress网关日志中添加消费者认证信息，运维团队可以更全面地掌握API使用情况，为容量规划、故障排查和安全审计提供有力支持。这种配置方式简单灵活，是生产环境中推荐的做法。